EDÖB: Tätigkeitsbericht 2020/21 – Covid-19, CH-US Privacy Shield & Co.

In seinem 28. Tätigkeitsbericht  legt der EDÖB Rechenschaft über seine Tätigkeit vom 1. April 2020 bis zum 31. März 2021 ab. Insbesondere die Covid-19-Pandemie prägte das Berichtsjahr.

Im Abschnitt Datenschutz äussert sich der EDÖB u.a. zu folgenden Themen:

Datenschutz und das Corona-Virus

Im Zusammenhang mit der Covid-19-Pandemie setzte sich der EDÖB mit unterschiedlichen Themen auseinander. Neben der Bekanntgabe der Mobilitätsdaten der Swisscom an das BAG wurde auch die Umsetzung des COVID-19-Zertifikates sowie die SwissCovid-App auf ihre Datenschutzkonformität überprüft. Die Aufarbeitung und Behebung datenschutzrelevanter Mängel erwies sich nach Aussage des EDÖB als herausfordernd. Vorgenannten Projekten wurde schliesslich das grüne Licht erteilt.

Programm Nationale Datenbewirtschaftung

Die Datenbewirtschaftung der öffentlichen Hand soll durch die Mehrfachnutzung von Daten einfacher und effizienter werden. Ziel ist, dass Private und Unternehmen den Behörden bestimmte Angaben nur noch einmal melden müssen («Once-Only»-Prinzip).

Die Mehrfachnutzung birgt aus Sicht des EDÖB erhebliche datenschutzrechtliche Risiken. So ist insbesondere sicherzustellen, dass das «Once-Only»-Prinzip nicht dazu führt, dass der Kreis von Zugriffsberechtigten erweitert wird. Weiter muss zwingend geregelt werden, wer welche Daten zu welchem Zweck bearbeiten darf. Zudem ist klar zwischen Datenbearbeitungen zu statistischen Zwecken und solchen zu anderen Zwecken zu unterscheiden. Darüber hinaus muss transparent ersichtlich sein, wie die Datenerhebung, die weitere Datenbearbeitung und die Zugriffsmöglichkeiten geregelt sind.

Zulässigkeit von Background Checks im Bewerbungsverfahren

Vermehrt bieten Firmen interessierten Arbeitgebern die Möglichkeit, Datenbanken nach Informationen über Stellenbewerberinnen und -bewerber zu durchforsten und anschliessend eine Anstellungsempfehlung abzugeben.

Gemäss Art. 328b OR darf der Arbeitgeber nur diejenigen Daten bearbeiten, die für das Bewerbungsverfahren notwendig sind. Dabei muss er stets auch die Datenbearbeitungsgrundsätze des DSG beachten. Eine mehr oder weniger ausgedehnte Personensicherheitsprüfung kann in Bereichen, in denen die Arbeitnehmenden Zugang zu sensiblen Informationen haben, geeignet, notwendig und zumutbar sein, um gewisse Risiken einzudämmen, so z.B. im Banken- oder Sicherheitssektor. Wo hingegen keine besonderen Risiken vorliegen, wie dies unter Vorbehalt besonderer Umstände beispielsweise bei Lehrpersonen der Fall sein dürfte, erscheint eine umfassende Sicherheitsprüfung als unverhältnismässig. Er bleibt sodann das Transparenzgebot zu beachten, welches den Arbeitgeber verpflichtet, die betroffene Person über den durchgeführten Background-Check und die erfolgte Datenbearbeitung zu informieren.

Weitergabe von Mitgliederdaten an Sponsoren

Im vergangenen Jahr stelle sich die Frage, ob es für Vereine zulässig ist, einen höheren Mitgliederbeitrag von denjenigen Mitgliedern zu erheben, die der Weitergabe ihrer Daten widersprochen haben. Vereine dürfen ohne die gültige Einwilligung der betroffenen Personen keine Daten an Sponsoren weitergeben. Wenn die Zustimmung in Form eines Opt-out erfolgt, ist es unerlässlich, dass die Mitglieder eine einfache Möglichkeit haben, der Weitergabe ihrer Daten zu widersprechen, ohne dadurch einen unverhältnismässigen Nachteil zu erleiden. Von einem unverhältnismässigen Nachteil ist auszugehen, wenn der Beitrag dermassen erhöht wird, dass sich die betroffenen Personen praktisch gezwungen fühlen, der Datenweitergabe zuzustimmen. In angemessenem Rahmen ist eine Beitragserhöhung für solche Mitglieder demnach zulässig.

Wegfall des Swiss-US Privacy Shield

Mit dem Urteil Schrems II vom 16. Juli 2020 erklärte der EuGH den datenschutzrechtlichen Schutz des EU-US Privacy Shield als ungenügend. Urteile des EuGH haben keine Geltung für die Schweiz. Vor dem Hintergrund seiner periodischen Evaluationen des CH-US Privacy Shield Regimes und der Angemessenheitsanerkennungen zwischen der Schweiz und der EU stellte der EDÖB jedoch fest, dass dieses Regime den Betroffenen in der Schweiz kein adäquates Schutzniveau mehr bietet. Er forderte deshalb Schweizer Unternehmen auf, die Übermittlung von Daten in die USA auf der Grundlage von vertraglichen Garantien und projektbezogenen Risikofolgenbeurteilungen vorzunehmen.

Den gesamten Tätigkeitsbericht findest Du hier.