Lexipedia

Eidgenössisches Justiz- und Polizeidepartement EJPD Bundesamt für Justiz BJ Direktionsbereich Öffentliches Recht Fachbereich Rechtsetzungsprojekte und -methodik

Bern, 12. Dezember 2008

Datenschutz bei der Benutzung der elektronischen Infrastruk- tur des Bundes Erläuterungen zum Entwurf einer Revision des RVOG

1 Allgemeines

11 Ausgangslage

Die Benützung der elektronischen Infrastruktur des Bundes (Telefon, Computer, Zutrittskon- trollen, Bildaufzeichnungen usw.) hinterlässt zwangsläufig elektronische Spuren. In der Re- gel werden zwar nicht Inhalte, sondern bloss sog. Randdaten gespeichert, also jene Daten, die beim Auf- und Abbau elektronischer Verbindungen entstehen (z.B. wann wurde zwischen welchen Teilnehmern eine Telefonverbindung aufgebaut, oder wann wurde von welchem Computer welche Internetseite aufgerufen). Aber auch diese Daten können personenbezo- gen ausgewertet werden. Zum Teil handelt es sich um besonders schützenswerte Perso- nendaten. Die Auswertung lässt teilweise die Erstellung von Persönlichkeitsprofilen zu. Das Bundesamt für Justiz (BJ) hat im Auftrag des Eidgenössischen Justiz- und Polizeidepar- tements am 20. Oktober 2005 ein Gutachten zu "Rechtlichen Fragen in Zusammenhang mit der Aufbewahrung von Kommunikationsdaten" verfasst. Das BJ kommt darin zum Schluss, dass auch das Aufbewahren (Speichern) der Kommunikationsranddaten eine Form der Be- arbeitung von Personendaten im Sinne des Datenschutzgesetzes vom 19. Juni 1992 (Art. 17 DSG, SR 235.1) darstellt und deshalb einer formellgesetzlichen Grundlage bedarf. Für die Bundesorgane fehlt zurzeit eine solche Grundlage. Mit der vorliegenden Revisionsvorlage soll mit andern Worten eine formellgesetzliche Grundlage geschaffen werden für Datenbear- beitungen, die zum Teil bereits heute stattfinden. Die Generalsekretärenkonferenz hat sich aufgrund dieses Gutachtens für die Schaffung ei- ner formellgesetzlichen Grundlage ausgesprochen. Das Eidg. Justiz- und Polizeidepartement hat das BJ am 12. November 2006 damit beauftragt, eine entsprechende Vorlage vorzube- reiten. Diese Arbeiten wurden begleitet und mitgestaltet von einer interdepartementalen Ar- beitsgruppe, in der die Bundeskanzlei, das Bundesamt für Informatik und Telekommunikati- on, das Eidg. Personalamt, das Informatikstrategieorgan Bund sowie der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte vertreten waren.

12 Konzept und Grundzüge

Mit den hier vorgeschlagenen Datenschutzbestimmungen soll nun die Datenbearbeitung bei der Benutzung der elektronischen Infrastruktur des Bundes geregelt werden. Sie verfolgt

zwei Ziele: Sie soll einerseits die Benützerinnen und Benützer dieser Infrastruktur vor unzu- lässiger Datenbearbeitung durch den Betreiber der Infrastruktur schützen. Andererseits soll den Betreibern die nötige gesetzliche Grundlage geschaffen werden, damit sie die als not- wendig erachtete Bearbeitung bestimmter Daten rechtmässig vornehmen können. In erster Linie geht es um die Erfassung der erwähnten Randdaten, teils sind diese jedoch mit In- haltsdaten verknüpft, so dass Letztere auch miterfasst werden.

Die neuen Datenschutzbestimmungen sollen nicht in einem eigenen Erlass geregelt, son- dern in ein bestehendes Gesetz eingefügt werden. In Frage kommen insbesondere das Da- tenschutzgesetz vom 19. Juni 1992 (DSG, SR 235.1), das Bundespersonalgesetz vom 24. März 2000 (BPG, SR 172.220.1) und das Regierungs- und Verwaltungsorganisationsge- setz vom 21. März 1997 (RVOG, SR 172.010).

Das DSG gilt nach der heutigen Struktur als allgemeines Gesetz. Mit einer Beschränkung des Geltungsbereichs auf die Bundesorgane als Betreiber der elektronischen Infrastruktur des Bundes, wie es die vorgeschlagene Regelung vorsieht, würde dieses Konzept durchbro- chen, was unerwünscht ist. Aus diesem Grund sehen wir davon ab, eine Revision des DSG vorzuschlagen. Das BPG erfasst die Angestellten des Bundes. Die elektronische Infrastruk- tur des Bundes wird zwar hauptsächlich, aber nicht nur von den Angestellten des Bundes benutzt: zahlreiche Personen, die nicht vom Bund angestellt sind (z.B. Experten, Besucher, Armeeangehörige, kantonale Behörden) beanspruchen die Infrastruktur des Bundes eben- falls. Deshalb scheint uns auch das BPG zur Verankerung der neuen Bestimmungen weni- ger geeignet. Demgegenüber scheint das RVOG der am besten geeignete Erlass zu sein. Der Geltungsbereich ist verhältnismässig weit umschrieben: dieses Gesetz enthält bereits eine Datenschutzbestimmung zu einer verwandten Frage, nämlich der Datenbearbeitung im Rahmen der Geschäftsverwaltung (Art. 57a1), die sich an die "Bundesorgane" richtet. Wir schlagen deshalb eine Ergänzung des RVOG vor, die an die erwähnte Bestimmung an- schliesst.

Die Neuerung sieht zunächst vor, dass Bundesorgane (bzw. die in ihrem Auftrag als Betrei- berin tätige Institution) in einem ersten Schritt grundsätzlich alle Daten aufzeichnen dürfen, die anlässlich der Benutzung der elektronischen Infrastruktur des Bundes entstehen. Aus Gründen der Verhältnismässigkeit (Art. 4 DSG) wäre es eigentlich geboten, die Aufzeich- nung von Daten nicht generell, sondern nur mit Bezug auf die in Artikel 57k vorgesehenen Bearbeitungszwecke zu erlauben und so die Datensammlung auf Vorrat zu vermeiden. Arti- kel 4 Absatz 3 DSG verbietet also das Sammeln von Personendaten «auf Vorrat» und ver- langt, dass nur diejenigen Daten erhoben und gespeichert werden, die eine Behörde zur Erfüllung ihrer Aufgabe objektiv benötigt (BGE 125 II 476 E. 4b). Dieser Einschränkung ste- hen aber kaum überwindbare praktische Problemen gegenüber: Die fraglichen Daten sind technisch bedingt miteinander verknüpft oder die Datenaufzeichnung ist aus technischen Gründen notwendig. Zudem ist die elektronische Infrastruktur in steter Entwicklung, so dass eine detaillierte und eingegrenzte Umschreibung der erlaubten Aufzeichnungen zwangsläufig nach kurzer Zeit lückenhaft wäre. Schliesslich würden die Datenschutzbestimmungen mit einer detaillierten Auflistung zu einer inhaltlichen und optischen Gewichtsverschiebung im RVOG führen und unverhältnismässig viel Raum einnehmen. Die Eingrenzung der Datenbe- arbeitung erfolgt dadurch, dass der nächste Bearbeitungsschritt – die (noch) nicht personen- bezogene Bearbeitung – nur zu abschliessend aufgezählten Zwecken erlaubt ist. Soll eine noch weiter gehende Bearbeitung, nämlich eine personenbezogene Bearbeitung erfolgen, die Rückschlüsse auf bestimmte Personen zulässt, sind zusätzliche Voraussetzungen zu

1 Diese Bestimmung wird ab 1.1.2009 zum Art. 57h; vgl. BBl 2008 2303. 2/6

erfüllen. Die bearbeitete Datenmenge sinkt damit mit zunehmender Eingriffstiefe und Intensi- tät der Bearbeitung. Die Umschreibung der elektronischen Infrastruktur ist bloss beispielhaft. Damit soll vermie- den werden, dass bei technischen Neuerungen stets eine Anpassung der gesetzlichen Um- schreibung vorzunehmen ist.

Wir haben darauf verzichtet, eine Verpflichtung zum Erlass von Reglementen zur Nutzung der elektronischen Infrastruktur des Bundes aufzunehmen. Zuständig für die Nutzungsreg- lemente sind die einzelnen Departemente. Eine Abstimmung der verschiedenen Nutzungs- reglemente ist sicher zweckmässig. Aus unserer Sicht bedarf es aber dazu keiner Regelung auf Gesetzesstufe; eine Harmonisierung kann beispielsweise mittels Musterreglementen erreicht werden.

In verschiedenen Bereichen bestehen besondere Bestimmungen zur Datenbearbeitung (z.B. Bundesgesetz vom 6. Oktober 2000 betreffend die Überwachung des Post- und Fernmelde- verkehrs BÜPF, SR 780.1; Bundesgesetz vom 21. März 1997 über Massnahmen zur Wah- rung der inneren Sicherheit BWIS, SR 120). Solche spezialgesetzlichen Regelungen gehen den hier vorgeschlagenen allgemeinen Bestimmungen vor.

2 Erläuterungen zu den einzelnen Bestimmungen

Vorbemerkung zum bestehenden Artikel 57a2 Diese im Jahre 2000 eingefügte Bestimmung bildet die gesetzliche Grundlage für die Bear- beitung von schützenswerten Personendaten durch Bundesorgane mittels Informations- und Dokumentationssystemen, die der Registrierung, der Verwaltung, der Indexierung und der Kontrolle von Schriftverkehr und Geschäften dienen. Mit dieser gesetzlichen Grundlage wird ein wichtiger Teil der Verwaltungstätigkeit erfasst und ist eine Vielzahl der Verwaltungstätig- keiten wie beispielsweise das Führen eines elektronischen Registratursystems für die lau- fenden Geschäfte oder die Bearbeitung und Beantwortung elektronischer Anfragen abge- deckt. Mit den nachfolgend beschriebenen Bestimmungen sollen die bestehenden Lücken in der elektronischen Datenbearbeitung geschlossen werden. Sie betreffen in erster Linie sog. Randdaten, teils aber auch den Inhalt von Mitteilungen (z.B. Betreff und Text einer E-Mail, Inhalt von Word-Dokumenten).

Artikel 57i Grundsatz Adressaten der neuen Regelung sind die Bundesorgane als Betreiber der elektronischen Infrastruktur, die über ihre elektronische Infrastruktur Daten speichern und weiter bearbeiten können. Mit der Revision sollen jene Personen geschützt werden, welche die elektronische Infrastruk- tur benutzen, die ein Bundesorgan zur Verfügung stellt, also insbesondere die Angestellten des Bundes und die Parlamentarier. Absatz 1: Alle bei der Nutzung der elektronischen Infrastruktur anfallenden Personendaten (also auch Inhalte von Mitteilungen und Videos) dürfen aufgezeichnet werden.

2 Diese Bestimmung wird ab 1.1.2009 zum Art. 57h; vgl. BBl 2008 2303. 3/6

Als Adressaten der Bestimmungen werden die "Bundesorgane" genannt. Es wird mit andern Worten derselbe Kreis angesprochen wie bereits im bestehenden Artikel 57a RVOG über die Datenbearbeitung im Rahmen der Geschäftsverwaltung. Zudem wird der Begriff im Daten- schutzgesetz (Art. 2 Abs. 1 Bst. b und Art. 3 Bst. h) verwendet. Dieser Begriff ist weiter ge- fasst als jener der Verwaltungseinheit gemäss Artikel 2 RVOG und Art. 6 RVOV. Als Bun- desorgane gelten: − Behörden und Dienststellen des Bundes (Departemente, Ämter, Bundeskanzlei, dezentralisierte Verwaltungseinheiten, eidg. Anstalten etc.), − Natürliche und juristische Personen ausserhalb der Bundesverwaltung, die mit öf- fentlichen Aufgaben des Bundes betraut sind (z.B. Post, SBB, SUVA, PUBLICA, SRG SSR idée suisse). Das bedeutet, dass u.a. auch die Bundesversammlung, ihre Organe und die Parlaments- dienste für ihre Verwaltungstätigkeit sowie die Krankenkassen erfasst werden (vgl. dazu BSK DSG Urs Maurer-Lambrou/Simon Kunz, Art. 2 R. 12 ff., Thomas Sägesser, Stämpflis Hand- kommentar zum RVOG, Art. 2 Rz. 16 ff.). Die hier aufgestellten Regeln für die Bundesorgane gelten in gleicher Weise für die Informatikbetriebe, welche die Infrastruktur im Auftrag eines Bundesorgans betreiben. Der vorliegende Entwurf geht vom Konzept aus, dass grundsätzlich alle Personendaten auf- gezeichnet werden dürfen, die bei der Benützung der elektronischen Infrastruktur des Bun- des „entstehen“. Darunter fallen beispielsweise Daten zum Auf- und Abbau elektronischer Verbindungen mittels Telefon oder Computer sowie die Daten zur Arbeitszeit des Personals, die mit Zeiterfassungsgeräten erhoben werden. Die Erlaubnis, alle Daten aufzuzeichnen, mag auf den ersten Blick als unverhältnismässig erscheinen. Technisch lassen sich bei der Aufzeichnung indessen die Daten, deren spätere Bearbeitung erlaubt ist, nicht oder nur un- genügend genau von den übrigen Daten trennen (so kann der Computer z.B. nicht zwischen privaten und geschäftlichen E-Mails unterscheiden). Es wäre zudem faktisch wohl nur bei- spielhaft möglich, diese einzelnen Datenmengen normativ präzis zu umschreiben. Die durch den Datenschutz gebotene Eingrenzung der Datenbearbeitung erfolgt deshalb mittels ab- schliessend aufgezählter erlaubter Bearbeitungszwecke (Art. 57k). Der hier vorgeschlagene Entwurf ist als lex generalis zu betrachten, dem spezialgesetzliche Bestimmungen vorgehen. Absatz 2 enthält die erste Einschränkung: Eine Weiterbearbeitung der aufgezeichneten Da- ten ist nur dann erlaubt, wenn damit einer der in Art. 57k genannten Zwecke verfolgt wird. Absatz 3 enthält (symmetrisch zum bestehenden Art. 57a) die nähere Umschreibung des Begriffs Personendaten; es wird ausdrücklich festgehalten, dass die Aufzeichnungen auch besonders schützenswerte Daten und Persönlichkeitsprofile enthalten können. Absatz 4 nimmt Bezug auf einen wichtigen Fall einer lex specialis: Für die Aufzeichnung von Telefongesprächen gelten die strengen Voraussetzungen der Artikel 179bis ff. des Strafge- setzbuches.

Artikel 57j Elektronische Infrastruktur

Die erfasste Infrastruktur wird weit aufgefasst und bewusst nur beispielhaft umschrieben, damit der technische Fortschritt nicht zu einer ständigen Anpassung der gesetzlichen Grund- lagen zwingt. Grundsätzlich sollen alle elektronischen Arbeits-, Hilfs- und Kontrollmittel er- fasst werden, welche die Bundesorgane ihren Angestellten, allenfalls aber auch Dritten, zur Verfügung stellen. Es kann sich dabei sowohl um stationäre als auch um mobile Geräte han- deln. 4/6

Artikel 57k Zulässige Bearbeitungszwecke Absatz 1: Eine weitere Bearbeitung der vorhandenen Daten darf ausschliesslich zu den in dieser Bestimmung aufgeführten Zwecken erfolgen. Möglich ist in diesem Rahmen auch eine Kombination verschiedener Bearbeitungszwecke (z.B. Vergleich der Arbeitszeit- Kontrolldaten mit den Daten über den Zugriff der betreffenden Person auf eine Datensamm- lung). Unter "weiter bearbeiten" fallen, nachdem die Daten gestützt auf Artikel 57i aufge- zeichnet wurden, grundsätzlich alle weiteren Bearbeitungsformen gemäss DSG. Die Aufbe- wahrung und das Löschen der Daten als besondere Bearbeitungsformen werden in der Ver- ordnung näher geregelt (gestützt auf Art. 57l Bst. a). Mit Buchstabe a wird eine gesetzliche Grundlage geschaffen für die unabdingbare und schon heute praktizierte Erstellung von Sicherungskopien (Backups). Die Daten sollen ferner zu statistischen Zwecken ausgewertet werden können (Bst. b). Buchstabe c erlaubt u.a. die Bearbeitung der Daten über den Auf- und Abbau elektronischer Verbindungen in folgenden Fällen: − Die technische Wartung des Systems verlangt unter Umständen die Bearbeitung dieser Daten, um die Informations- und Dienstleistungssicherheit zu gewährleis- ten (Bst. c Ziff. 1 und 2). − Für die allgemeine Kontrolle der Einhaltung von Nutzungsreglementen (z.B. uner- laubte Nutzung des Internets) darf der Sachverhalt breit, aber nicht personenbe- zogen abgeklärt werden (Bst. c Ziff. 3). − Anhand dieser Daten soll nachvollzogen werden können, von welchem Computer aus wann eine Datenbank konsultiert wurde und ob bzw. welche Änderungen vor- genommen wurden (Bst. c Ziff. 4). − Es muss auch zulässig sein, die Benutzung der elektronischen Infrastruktur zu er- fassen, um sie beispielsweise dem Dienstleistungsbezüger fakturieren zu können oder Statistiken zu erstellen (Bst. c Ziff. 5).

Buchstabe d ermöglicht beispielsweise die Zusammenstellung von Daten im Hinblick auf eine Änderung der Blockzeiten oder im Hinblick auf Massnahmen des Gesundheitsmanage- ments sowie zu statistischen Zwecken.

Buchstabe e erlaubt das Ordnen der Daten aus Videoüberwachungen z.B. nach bestimmten Tageszeiten.

Absatz 2: Eine personenbezogene Bearbeitung (z.B. eine Auswertung von Daten, die Rück- schlüsse auf das Verhalten einer bestimmten Person zulässt) kann datenschutzrechtlich be- sonders heikel sein. Sie ist deshalb nur in den vom Gesetz vorgesehenen Fällen zulässig. Buchstabe a lässt eine solche Datenbearbeitung zu, wenn in einem konkreten Einzelfall ge- genüber einer bestimmten Person der Verdacht einer missbräuchlichen Verwendung der elektronischen Infrastruktur besteht; personenbezogene stichprobenweise Prüfungen oder systematische Auswertungen sind dagegen nicht zulässig. Buchstabe b erlaubt beispielswei- se die individualisierte Auswertung, wenn diese für das Auffinden von Störungsursachen nötig ist. Buchstabe c erfasst beispielsweise die monatliche Auswertung der Arbeitszeitda- ten, mit der ein Vorgesetzter das Ausmass an Überzeit seiner Mitarbeiterinnen und Mitarbei- ter kontrollieren kann. Buchstabe d erlaubt die Zusammenstellung der auf eine Person bezo- genen Daten, um ihr Rechnung für die gebührenpflichtige Beanspruchung der elektronischen Infrastruktur zu stellen.

5/6

Absatz 3 behält die Datenbearbeitung zu weiteren Zwecken vor, sofern sie in einem anderen Erlass vorgesehen ist. Die Anforderungen an solche Erlasse sind in Artikel 17 DSG um- schrieben. Die Daten können nur dann bearbeitet werden, wenn die Voraussetzungen der entsprechenden Spezialgesetzgebung erfüllt sind. In Frage kommt beispielsweise eine Da- tenbearbeitung im Rahmen eines Strafverfahrens (z.B. Überwachung des Post- und Fern- meldeverkehrs gestützt auf das BÜPF; vgl. auch Art. 246 ff. der neuen Strafprozessordnung, BBl 2007 6977), der Videoüberwachung gestützt auf das BWIS und Art. 15 der Verordnung über das Sicherheitswesen in Bundesverantwortung VSB (SR 120.72) oder die Datenbear- beitung mit polizeilichen Informationssystemen des Bundes (vgl. vom Parlament am 13.06.2008 verabschiedetes Bundesgesetz über die polizeilichen Informationssysteme des Bundes BPI, BBL 2006 5061). Besondere Regeln sieht ferner auch das Fernmeldegesetz vor (SR 784.10, Art. 43-46).

Artikel 57l Ausführungsbestimmungen

Zunächst ist darauf hinzuweisen, dass es sich vorliegend oft um Personendaten handelt, die zunächst Bestandteil teils sehr grosser Datenmengen bilden, die in einem ersten Schritt – vor der eigentlichen Bearbeitung – einer Aufbereitung bedürfen (so sind beispielsweise die Internetverbindungen einer bestimmten Person von allen übrigen Internetverbindungen aus- zuscheiden, was unter Umständen mit einem beträchtlichen Aufwand verbunden ist).

Die Art und Weise, wie die Daten nach der Aufzeichnung weiter bearbeitet werden dürfen, ist genau zu regeln. Auf Gesetzesstufe genügt indessen ein Hinweis auf die wichtigsten Fragen, für die auf Verordnungsstufe eine Antwort zu geben ist. So hat der Bundesrat insbesondere zu regeln, wer berechtigt und zuständig ist für die Aufzeichnung und die Aufbewahrung der Daten. Zudem muss er regeln, welche Daten wie lange aufzubewahren bzw. wann sie zu vernichten sind (Bst. a). Im Weiteren ist festzulegen, unter welchen Modalitäten die Daten weiter bearbeitet werden dürfen (Bst. b). Schliesslich muss geregelt werden, wann welches Organ wie Zugriff auf die Daten und die Datenauswertung hat (Bst. c).

Die vorgeschlagene Regelung deckt nicht einen einheitlichen Bereich, sondern eine Vielzahl verschiedener Sachverhalte ab, so dass eine Regelung im RVOG unverhältnismässig lang und unübersichtlich würde. Deshalb wird hier auf eine detaillierte Regelung der Modalitäten der Datenbearbeitung bereits auf Gesetzesstufe verzichtet, anders als bei überschaubaren und klar abgegrenzten Bereichen wie beispielsweise bei der geplanten Regelung der Bear- beitung von Personaldossiers im Bundespersonalgesetz.

Änderung bisherigen Rechts

Die für Bundesorgane vorgesehene Regelung soll auch für die eidgenössischen Gerichte gelten, soweit das Datenschutzgesetz auf sie anwendbar ist und es sich um ihre Verwal- tungstätigkeit handelt. Da die Gerichte vom Geltungsbereich des RVOG nicht erfasst wer- den, ist in den drei spezifischen Erlassen der Gerichte ein Verweis aufzunehmen, wonach die neuen Datenschutzregeln des RVOG für die eidgenössischen Gerichte Anwendung fin- den.

Für das Ausführungsrecht ist im Bereich der Gerichte nicht der Bundesrat zuständig, son- dern sind es die Gerichte selbst. Es wird also an ihnen sein, die notwendigen Ausführungs- bestimmungen für ihren Bereich zu erlassen. R:\ÖFFR\RSPM\2 Projekte\Datenschutz el. Infrastruktur\Mitberichtsverfahren\Erläuterungen d Mitbericht Ausdruck.doc 6/6