Datenschützer des Bundes
Nach verschiedenen Datenskandalen: E-ID und neues Datenschutzgesetz haben Priorität

Was bei der Revision des Datenschutzgesetzes noch fehlt und wo die eigene Behörde Verbesserungspotenzial hat: Das steht im Bericht des eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.

Ann-Kathrin Amstutz
Drucken
Pandemie, der Skandal um meineimpfungen.ch oder die Revision des Datenschutzgesetzes hielten Datenschützer Adrian Lobsiger auf Trab. (Archivbild)

Pandemie, der Skandal um meineimpfungen.ch oder die Revision des Datenschutzgesetzes hielten Datenschützer Adrian Lobsiger auf Trab. (Archivbild)

Keystone

Es war ein Jahr voller Datenskandale, welche die Tätigkeit des eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ins Rampenlicht rückten. Da war einerseits der Skandal um das digitale Impfbüchlein meineimpfungen.ch oder die Sicherheitsmängel beim Online-Organspenderegister von Swisstransplant. Auf der positiven Seite stechen «als wichtige Achtungserfolge» die SwissCovid-App und das Covid-Zertifikat inklusive Light-Version heraus, schreibt Adrian Lobsiger als oberster Datenschützer des Landes im Vorwort zum Tätigkeitsbericht 2021/2022, der am Montag publiziert wurde.

Schwerpunkte setzt der oberste Datenschützer beim neuen Datenschutzgesetz und beim elektronischen Identitätsnachweis (E-ID). Die Realisierung einer staatlich anerkannten elektronischen Identität sei «überfällig», steht im Bericht. Nach der Ablehnung des E-ID-Gesetzes im März 2021 sei es bedeutsam, dass ein solches im zweiten Anlauf zustande komme. Wichtig dabei ist Adrian Lobsiger etwa, dass die Anonymität im digitalen Raum gewahrt werden kann. Der neue Gesetzesentwurf ist in Arbeit; bis Mitte des Jahres soll er vorliegen.

«Lückenhaft»: Datenschützer kritisiert Gesetzesvorlage

Auch bei der Revision des Datenschutzgesetzes, an der Bundesrat und Parlament seit 2011 tüfteln, ist laut dem obersten Datenschützer noch immer nicht alles im Lot. Es «verbleiben zahlreiche Punkte» mit «Verbesserungsbedarf», steht in dem Jahresbericht. Insbesondere seien die Ausführungsbestimmungen in den folgenden Punkten «lückenhaft und zu wenig detailliert»:

  • Datenschutz-Folgenabschätzungen, mit denen Datenschutzrisiken erkannt und beurteilt werden;
  • Profiling, die automatisierte Verarbeitung von personenbezogenen Daten wie Alter, Geschlecht oder Grösse z.B. zu Werbezwecken;
  • automatische Einzelfallentscheidungen, also Entscheidungen von Algorithmen aufgrund vorher definierter Parameter;
  • Gebührenregelungen.

Dadurch werde die rechtssichere Anwendung des neuen Gesetzes erschwert, kritisiert Datenschützer Adrian Lobsiger. Dieses soll nun erst im September 2023 in Kraft treten – ein Jahr später als ursprünglich geplant. Der dazu notwendige Entscheid des Bundesrats steht jedoch noch aus.

Wegen Corona: Zugangsgesuche steigen auf neuen Rekordwert

Erneut zugenommen hat im letzten Berichtsjahr die Anzahl Zugangsgesuche zu amtlichen Dokumenten – es waren 1385 gegenüber 1193 im Vorjahr. In 694 Fällen (50 Prozent) gewährten die Behörden einen vollständigen Zugang, bei 324 Gesuchen (23 Prozent) einen teilweisen oder aufgeschobenen Zugang. In 126 Fällen (9 Prozent) wurde das Gesuch abgelehnt.

Damit setzt sich die Tendenz aus dem letzten Jahr fort, als der oberste Datenschützer des Landes bereits ein höheres Informations- und Transparenzbedürfnis im Zuge der Pandemie feststellte. Auch in diesem Jahr hatte ein Viertel der gestellten Gesuche einen Zusammenhang mit Corona.

Datenschützer ist nicht vollends zufrieden mit der eigenen Arbeit

Die Vielzahl der Projekte zur digitalen Transformation der Bundesverwaltung sowie die zunehmenden Kontroll- und Aufsichtsaufgaben stellen den EDÖB als «Kleinbehörde» laut eigener Aussage vor eine Herausforderung. Man habe «die berechtigten Erwartungen der Öffentlichkeit nicht im gewünschten Mass erfüllen» können, steht im Jahresbericht.

Zwar habe man die Zusammenarbeit mit dem nationalen Zentrum für Cybersicherheit intensiviert. Dennoch fehle es nach wie vor an Mitteln, um systematisch Stichproben und Kontrollen der technischen Sicherheit durchzuführen. Solche wären gerade bei sensiblen Datenhaltungen von Gesundheitsdaten nützlich, so der Datenschützer. Auch die Bearbeitungsfristen in Schlichtungsverfahren seien «mit den vorhandenen Personalressourcen» oft überschritten worden.