Lexipedia

Botschaft zur Änderung des Regierungs- und Verwaltungsorganisationsgesetzes (Datenschutz bei der Nutzung der elektronischen Infrastruktur)

09.089

Botschaft zur Änderung des Regierungs- und Verwaltungsorganisationsgesetzes (Datenschutz bei der Nutzung der elektronischen Infrastruktur)

vom 27. November 2009

Sehr geehrte Frau Nationalratspräsidentin Sehr geehrte Frau Ständeratspräsidentin Sehr geehrte Damen und Herren

Mit dieser Botschaft unterbreiten wir Ihnen, mit dem Antrag auf Zustimmung, den Entwurf zur Änderung des Regierungs- und Verwaltungsorganisationsgesetzes (RVOG) mit Vorschriften zur Datenbearbeitung bei der Nutzung der elektronischen Infrastruktur.

Wir versichern Sie, sehr geehrte Frau Nationalratspräsidentin, sehr geehrte Frau Ständeratspräsidentin, sehr geehrte Damen und Herren, unserer vorzüglichen Hoch- achtung.

27. November 2009 Im Namen des Schweizerischen Bundesrates Der Bundespräsident: Hans-Rudolf Merz Die Bundeskanzlerin: Corina Casanova

2009-1729 8513

Übersicht

Mit dieser Vorlage beantragt der Bundesrat dem Parlament, im Regierungs- und Verwaltungsorganisationsgesetz (RVOG) und in den Gesetzen über die eidgenös- sischen richterlichen Behörden die nötigen formell-gesetzlichen Grundlagen für die Bearbeitung von Personendaten zu schaffen, die bei der Benutzung der Infra- struktur der Verwaltung anfallen. In der heutigen Arbeitswelt sind zahlreiche elektronische Hilfsmittel nicht mehr wegzudenken. Dies gilt auch für die Verwaltung: Die Bundesorgane stellen nicht nur Telefon und Computer zur Verfügung, sondern setzen auch zahlreiche weitere Instrumente ein. Die Benützung dieser elektronischen Infrastruktur hinterlässt zwangsläufig Spuren, die Rückschlüsse auf die Benutzerinnen und Benutzer zulas- sen. Verschiedene Gesetze erlauben unter bestimmten Voraussetzungen die Aufzeichnung und Auswertung von Daten, die im Zusammenhang mit der Nutzung der elektroni- schen Infrastruktur entstehen, z.B. im Rahmen eines Strafverfahrens. Nicht geregelt ist jedoch der Umgang der Bundesverwaltung mit Inhalts- und mit sogenannten Randdaten im Rahmen ihrer ordentlichen Tätigkeit. Aus der Sicht des Datenschutzes ist die Bearbeitung von besonders schützenswerten Personendaten nur zulässig, wenn dazu eine formell-gesetzliche Grundlage besteht. Mit den hier vorgeschlage- nen Bestimmungen im Regierungs- und Verwaltungsorganisationsgesetz wird diese Lücke geschlossen. Die Vorlage geht vom Grundsatz aus, dass die Bundesorgane Personendaten, die bei der Benutzung der elektronischen Infrastruktur anfallen, grundsätzlich nicht bearbeiten dürfen. Vorbehalten bleibt die Aufzeichnung bestimmter Daten und deren Auswertung zu den im Gesetz abschliessend aufgezählten Zwecken. Zusammenfas- send geht es darum, die für technische, statistische und organisatorische Zwecke benötigten Daten freizugeben, soweit dies für das Funktionieren der Bundesverwal- tung erforderlich ist. Dabei gelten für die personenbezogene Auswertung strengere Massstäbe als für Analysen, deren Ergebnisse ausschliesslich anonymisierte Daten enthalten. Das Gesetz regelt nur die Grundzüge. Die Aufbewahrung und die Ver- nichtung der Daten, der Zugriff auf die Daten und weitere Modalitäten sollen auf Verordnungsebene bestimmt werden.

Botschaft

1 Grundzüge der Vorlage

1.1 Verwendung elektronischer Hilfsmittel

in der Arbeitswelt des Bundes In der heutigen Arbeitswelt sind zahlreiche elektronische Hilfsmittel nicht mehr wegzudenken. So stellen auch die Bundesorgane nicht nur Telefon und Computer zur Verfügung, sondern setzen oft viele weitere Instrumente ein wie beispielsweise elektronische Arbeitszeiterfassungsgeräte, Videokameras, Navigationsgeräte usw. Benützt werden diese Geräte vor allem von den Angestellten des Bundes, aber nicht nur; auch externe Personen wie beigezogene Fachleute, externes Servicepersonal, kantonale Behörden und Militärdienst leistende Personen gehören zum Benutzer- kreis. Die Benützung der elektronischen Infrastruktur des Bundes hinterlässt zwangsläufig Spuren. Insbesondere werden – mindestens kurzfristig – sogenannte Randdaten erfasst, also jene Daten, die bei der Nutzung der elektronischen Infrastruktur (insbes. beim Auf- und Abbau elektronischer Verbindungen) entstehen. Dazu gehören insbe- sondere Protokoll-Dateien (log files), die beispielsweise festhalten, wann zwischen welchen Teilnehmerinnen und Teilnehmern eine Telefonverbindung aufgebaut oder wann von welchem Computer welche Internetseite aufgerufen wurde. Diese Rand- daten, aber auch Inhaltsdaten können personenbezogen ausgewertet werden. Zum Teil handelt es sich um besonders schützenswerte Personendaten. Die Auswertung lässt mithin teilweise die Erstellung von Persönlichkeitsprofilen zu.

1.2 Fehlende Grundlage für die Datenbearbeitung

Aus der Sicht des Datenschutzes ist die Datenbearbeitung, insbesondere die Bearbei- tung sensibler Personendaten, nur zulässig, wenn bestimmte gesetzliche Vorausset- zungen erfüllt sind. Das Bundesamt für Justiz (BJ) hat im Auftrag des Eidgenös- sischen Justiz- und Polizeidepartements am 20. Oktober 2005 ein Gutachten zu «Rechtlichen Fragen in Zusammenhang mit der Aufbewahrung von Kommuni- kationsdaten» verfasst. Das BJ kommt darin zum Schluss, dass auch das Aufbewah- ren (Speichern) der Randdaten elektronischer Kommunikation eine Form der Bear- beitung von Personendaten im Sinne von Artikel 17 des Bundesgesetzes vom 19. Juni 19921 über den Datenschutz (DSG) darstellt und deshalb einer formell- gesetzlichen Grundlage bedarf. Für die Bundesorgane fehlt zurzeit eine solche Grundlage. Mit der vorliegenden Revisionsvorlage soll mit andern Worten eine formellgesetzliche Grundlage geschaffen werden für Datenbearbeitungen, die zum grössten Teil bereits heute stattfinden.

1 SR 235.1

1.3 Erarbeitung eines Vorentwurfs

Aufgrund des erwähnten Gutachtens hat sich die Generalsekretärenkonferenz für die Schaffung der erforderlichen Rechtsgrundlagen ausgesprochen. Im Auftrag des Eidgenössischen Justiz- und Polizeidepartements erarbeitete das Bundesamt für Justiz einen Vorentwurf, unter Beizug einer interdepartementalen Arbeitsgruppe, in der die Bundeskanzlei, das Bundesamt für Informatik und Telekommunikation, das Eidgenössische Personalamt, das Informatikstrategieorgan Bund sowie der Eid- genössische Datenschutz- und Öffentlichkeitsbeauftragte vertreten waren. Im Dezember 2008 eröffnete der Bundesrat ein Vernehmlassungsverfahren; Kan- tone, Parteien, Dachverbände und einige Fachorganisationen wurden aufgefordert, bis Ende März 2009 zum Vorentwurf Stellung zu nehmen. Die Vernehmlasser begrüssten fast ausnahmslos eine Regelung der Datenbearbei- tung durch die Ergänzung des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 19972 (RVOG). Etliche wünschten indessen eine präzisere Umschrei- bung der zulässigen Datenbearbeitung; eine Pauschalermächtigung zur Datenauf- zeichnung geht ihnen aus grundrechtlichen Überlegungen zu weit. Aufgrund der Ergebnisse des Vernehmlassungsverfahrens wurde der Vorentwurf in Zusammenarbeit mit der interdepartementalen Arbeitsgruppe überarbeitet. Im Vor- dergrund stand dabei das Anliegen, die Voraussetzungen für die Zulässigkeit der Aufzeichnung bestimmter Daten und deren Auswertung sowie das Zusammenspiel mit bestehenden, strengeren Normen genauer zu regeln. Aufgrund der vorgebrachten Kritik wurde insofern ein Systemwechsel vollzogen, als die generelle Aufzeich- nungserlaubnis mit eingeschränkter Erlaubnis zur weiteren Bearbeitung ersetzt wurde durch ein generelles Verbot der Datenaufzeichnung und -auswertung, ver- bunden mit einem Ausnahmekatalog, der die Aufzeichnung und Auswertung zu den im Gesetz abschliessend genannten Zwecken erlaubt.

1.4 Konzept und Grundzüge des Entwurfs

Mit den hier vorgeschlagenen Bestimmungen soll die erwähnte Lücke in der Gesetzgebung geschlossen werden. Personendaten, die bei der Benutzung der elek- tronischen Infrastruktur anfallen, dürfen grundsätzlich nicht aufgezeichnet und ausgewertet werden. Vorbehalten bleibt die Aufzeichnung und Auswertung zu abschliessend aufgezählten Zwecken. Die vorgeschlagene Regelung verfolgt zwei Ziele: Sie soll einerseits die Benützerinnen und Benützer dieser Infrastruktur vor unzulässiger Datenbearbeitung durch den Betreiber der Infrastruktur schützen. Andererseits soll den Betreibern die nötige gesetzliche Grundlage geschaffen wer- den, damit sie die als notwendig erachteten Aufzeichnungen bestimmter Daten und deren Auswertung rechtmässig vornehmen können. Die Regelung ist indessen subsidiär. Datenschutzbestimmungen in anderen Bundes- gesetzen wie z.B. über die Überwachung von Telefongesprächen gehen vor (vgl. z.B. BG vom 6. Oktober 20003 betreffend die Überwachung des Post- und Fern-

2 SR 172.010 3 SR 780.1

meldeverkehrs, BÜPF; Bundesgesetz vom 21. März 19974 über Massnahmen zur Wahrung der inneren Sicherheit, BWIS). Die Aufzeichnung und die weitere Bear- beitung der Personendaten ist in diesen Fällen nur erlaubt, wenn die Voraussetzun- gen gemäss Spezialgesetz erfüllt sind. Die neuen Datenschutzbestimmungen sollen nicht in einem eigenen Erlass geregelt, sondern in ein bestehendes Gesetz eingefügt werden. In Frage kommen insbesondere das DSG, das Bundespersonalgesetz vom 24. März 20005 (BPG) und das RVOG. Das DSG gilt nach der heutigen Struktur als allgemeines Gesetz. Mit einer Beschränkung des Geltungsbereichs auf die Bundesorgane als Betreiber der elektro- nischen Infrastruktur des Bundes, wie es die vorgeschlagene Regelung vorsieht, würde dieses Konzept durchbrochen, was unerwünscht ist. Aus diesem Grund wird von einer Revision des DSG abgesehen. Das BPG erfasst die Angestellten des Bundes. Die elektronische Infrastruktur des Bundes steht zwar hauptsächlich, aber nicht nur den Angestellten des Bundes zur Verfügung. Sie wird auch von zahlrei- chen Personen benutzt, die nicht vom Bund angestellt sind (z.B. Expertinnen und Experten, Besucher, Armeeangehörige, kantonale Behörden). Deshalb ist auch das BPG zur Verankerung der neuen Bestimmungen weniger geeignet. Demgegenüber ist das RVOG der am besten geeignete Erlass: Sein Geltungsbereich ist verhältnis- mässig weit umschrieben, und dieses Gesetz enthält bereits eine Datenschutz- bestimmung zu einer verwandten Frage, nämlich der Datenbearbeitung im Rahmen der Geschäftsverwaltung (Art. 57h), die sich an die «Bundesorgane» richtet. Vorge- schlagen wird deshalb eine Ergänzung des RVOG, die an die erwähnte Bestimmung anschliesst. Die Neuregelung enthält zunächst ein Verbot: Bundesorgane dürfen die bei der Nutzung der Infrastruktur anfallenden Personendaten nicht aufzeichnen und auswer- ten. Vier weitere Bestimmungen enthalten die Ausnahmen von diesem Grundsatz. Die Aufzeichnung der Daten und deren Auswertung ist nur zu den im Gesetz abschliessend genannten Zwecken erlaubt. Dieses Konzept führt dazu, dass das datenbearbeitende Bundesorgan nachweisen muss, dass es zur Datenbearbeitung legitimiert ist. Dieses Regelungskonzept ist aufgrund der Vernehmlassungsergeb- nisse gewählt worden. Der Vorentwurf hatte demgegenüber vorgesehen, dass Bun-

desorgane grundsätzlich alle Daten aufzeichnen dürfen, die anlässlich der Benutzung der elektronischen Infrastruktur des Bundes entstehen, wobei die weitere Daten- bearbeitung eingeschränkt war. Bei den zulässigen Auswertungszwecken wird differenziert: Für personenbezogene Auswertungen gelten strengere Voraussetzun- gen als für nicht personenbezogene Analysen, deren Ergebnisse ausschliesslich anonymisierte Daten enthalten. Die Aufbewahrungsfristen werden auf Verordnungs- stufe geregelt. Geplant ist eine nach Datentyp differenzierte maximale Aufbewah- rungsfrist, die nur unter bestimmten Voraussetzungen verlängert werden darf. Auf Gesetzesstufe wird keine Verpflichtung zum Erlass von Reglementen zur Nut- zung der elektronischen Infrastruktur des Bundes aufgenommen. Diesem Anliegen kann auf Verordnungsstufe entsprochen werden.

4 SR 120 5 SR 172.220.1

2 Erläuterungen zu den einzelnen Bestimmungen

2.1 Verhältnis der neuen Bestimmungen

zum bestehenden Artikel 57h Die im Jahre 2000 eingefügte Bestimmung von Artikel 57h bildet die gesetzliche Grundlage für die Bearbeitung von schützenswerten Personendaten durch Bundes- organe mittels Informations- und Dokumentationssystemen, die der Registrierung, der Verwaltung, der Indexierung und der Kontrolle von Schriftverkehr und Geschäf- ten dienen. Mit dieser gesetzlichen Grundlage wird ein wichtiger Teil der Verwal- tungstätigkeit erfasst und ist eine Vielzahl der Verwaltungstätigkeiten wie bei- spielsweise das Führen eines elektronischen Registratursystems für die laufenden Geschäfte oder die Bearbeitung und Beantwortung elektronischer Anfragen abge- deckt. Mit den nachfolgend beschriebenen Bestimmungen sollen die bestehenden Lücken im Datenschutz bei der Nutzung der elektronischen Infrastruktur geschlossen wer- den. Sie betreffen in erster Linie sogenannte Randdaten, teils aber auch den Inhalt von Mitteilungen (z.B. Betreff und Text einer E-Mail, Inhalt von Word-Doku- menten).

2.2 Erläuterungen zu den einzelnen Artikeln

Ingress Das geltende RVOG bezieht sich im Ingress noch auf Artikel 85 Ziffer 1 der alten Bundesverfassung vom 29. Mai 1874. Auf die aktuelle Verfassungsbestimmung wird lediglich in einer Fussnote hingewiesen. Die vorliegende Revision wird nun zum Anlass genommen, den Ingress zu aktualisieren und Artikel 173 Absatz 2 der Bundesverfassung vom 18. April 19996 als verfassungsmässige Grundlage des RVOG zu erwähnen.

Art. 57i Verhältnis zu anderem Bundesrecht Die Bestimmung regelt die Schnittstellen zu anderen Gesetzen, die sich mit der Aufzeichnung und Auswertung von Daten befassen, die bei der Nutzung der elek- tronischen Infrastruktur anfallen. Diese speziellen Gesetze, die Aufzeichnung und Auswertung solcher Personendaten nur unter strengen Voraussetzungen und in der Regel nur auf behördliche Anordnung hin zulassen, gehen der vorliegenden Rege- lung vor. Insbesondere gelten weiterhin folgende Spezialregeln: – Die Überwachung des Post- und Fernmeldeverkehrs im Zusammenhang mit einem Strafverfahren, einem Rechtshilfeverfahren oder zur Suche und Ret- tung einer vermissten Person richtet sich nach dem BÜPF. Weiterhin mög- lich ist im Übrigen die Aufzeichnung von Gesprächen, sofern die Einwilli- gung der Gesprächsteilnehmerinnen und -teilnehmer vorliegt, z.B. im Zusammenhang mit der Qualitätskontrolle in einem Call-Center.

6 SR 101

– Die Durchsuchung von Ton-, Bild- und anderen Aufzeichnungen, Datenträ- gern sowie Anlagen zur Verarbeitung und Speicherung von Informationen im Zusammenhang mit einem Strafverfahren wird sich ab Inkrafttreten der Strafprozessordnung vom 5. Oktober 20077 nach deren Artikeln 246 ff. richten; für die Anordnung geheimer Überwachungen z.B. mit Video oder gestützt auf GPS-Peilsender sind die Artikel 269 ff. StPO massgebend. – Für entsprechende Durchsuchungen in einem Disziplinarverfahren im Rah- men des Bundespersonalrechts gelten ähnliche Regeln (vgl. Art. 25 BPG, Art. 98 der Bundespersonalverordnung vom 3. Juli 20018, BPV); das erstin- stanzliche Disziplinarverfahren wird durch das Bundesgesetzgesetz vom 20. Dezember 19689 über das Verwaltungsverfahren (VwVG) geregelt, wel- ches ergänzend auf das Zivilprozessrecht des Bundes verweist (vgl. Art. 12 und 19 VwVG). – Besondere Regeln sieht ferner auch das Fernmeldegesetz vom 30. April

199710 (FMG) vor, z.B. im Hinblick auf Standortdaten (vgl. Art. 43–46

FMG). – Besondere Regeln für die Informationsbeschaffung und Datenbearbeitung im Zusammenhang mit der inneren Sicherheit sieht das BWIS vor. – Die Informationsbeschaffung und die Datenbearbeitung im Zusammenhang mit den Bundessteuern und -abgaben richten sich nach dem Bundesgesetz vom 14. Dezember 199011 über die direkte Bundessteuer (DBG), dem Bun- desgesetz vom 14. Dezember 199012 über die Harmonisierung der direkten Steuern der Kantone und Gemeinden (StHG), dem Bundesgesetz vom 13. Oktober 196513 über die Verrechnungssteuer (VStG), dem Bundesgesetz vom 27. Juni 197314 über die Stempelabgaben (StG), dem Mehrwertsteuer- gesetz vom 2. September 199915 (MWSTG) und dem Bundesgesetz vom 12. Juni 195916 über die Wehrpflichtersatzabgabe (WPEG). Ferner ist in diesem Zusammenhang auf das Projekt «Polizeigesetzgebung des Bundes» hinzuweisen, in dessen Rahmen ein Bundesgesetz über die polizeilichen Aufgaben des Bundes (Arbeitstitel: Polizeiaufgabengesetz, PolAG) erarbeitet wird. Erlasse, die sich nicht mit automatisch entstehenden Daten, sondern mit gezielter Datensammlung befassen – beispielsweise im Hinblick auf die Schaffung von Informationssystemen –, haben einen anderen Regelungsgegenstand als die hier vorgeschlagene Vorlage. Dies gilt etwa in den folgenden Bereichen: – Datenbearbeitung mit polizeilichen Informationssystemen des Bundes (vgl. BG vom 13. Juni 200817 über die polizeilichen Informationssysteme des Bundes (BPI).

7 BBl 2007 6977

8 SR 172.220.111.3 9 SR 172.021 10 SR 784.10 11 SR 642.11 12 SR 642.14 13 SR 642.21 14 SR 641.10 15 SR 641.20 16 SR 661 17 SR 361

– Datenbearbeitung im Zusammenhang mit den verschiedenen Informations- systemen der Armee nach dem Militärgesetz vom 3. Februar 199518 (MG). Das Verhältnis zum Datenschutzgesetz ist folgendes: Die Vorlage bringt eine gesetzliche Grundlage für das Bearbeiten bestimmter Personendaten (insbesondere Randdaten) durch Bundesorgane – wie von Artikel 17 DSG verlangt. Sie macht ausserdem die Beschaffung und den Zweck der Bearbeitung für jedermann erkenn- bar (vgl. Art. 4 Abs. 4 DSG). Die übrigen Vorschriften des DSG im Zusammenhang mit der Bearbeitung von Personendaten durch Bundesorgane (4. Abschnitt) sind weiterhin direkt anwendbar, so z.B. Artikel 22 DSG, der die Bearbeitung für Forschung, Planung und Statistik erlaubt, oder Artikel 16 Absatz 1 DSG, der die Verantwortlichkeit regelt. Auch die allgemeinen Datenschutzbestimmungen (2. Abschnitt) sind zu beachten.

Art. 57j Grundsätze Adressaten der neuen Regelung sind die Bundesorgane. Sie und die in ihrem Auftrag tätigen externen Firmen, welche die Infrastruktur betreiben, dürfen keine Personen- daten aufzeichnen und auswerten, es sei denn, dies geschehe zu einem der nachfol- gend erwähnten Zwecke. Indirekte Adressatinnen und Adressaten sind jene Personen, welche die elektro- nische Infrastruktur benutzen, die ein Bundesorgan zur Verfügung stellt, also ins- besondere die Angestellten des Bundes und die Mitglieder der eidgenössischen Räte, aber auch externe Nutzerinnen und Nutzer von Datenbanken. Sie sollen mit der Revision vor unzulässiger Bearbeitung ihrer persönlichen Daten geschützt wer- den. Absatz 1: Mit der Verwendung des Begriffs «Bundesorgane» wird klargestellt, dass sich die neuen Bestimmungen an denselben Adressatenkreis wie der vorangehende Artikel des Gesetzes (Art. 57h RVOG) über die Datenbearbeitung im Rahmen der Geschäftsverwaltung richten. Der Begriff «Bundesorgan» wird zudem im DSG (Art. 2 Abs. 1 Bst. b und Art. 3 Bst. h) verwendet. Er ist weiter gefasst als der Begriff der Verwaltungseinheit gemäss Artikel 2 RVOG und Artikel 6 der Regie- rungs- und Verwaltungsorganisationsverordnung vom 25. November 199819 (RVOV). Als Bundesorgane gelten: – Behörden und Dienststellen des Bundes (Departemente, Ämter, Bundes- kanzlei, dezentralisierte Verwaltungseinheiten, eidg. Anstalten etc.), – natürliche und juristische Personen ausserhalb der Bundesverwaltung, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind (z.B. Post, SBB, SUVA). Erfasst werden mit diesem Begriff u.a. auch die Bundesversammlung, ihre Organe und die Parlamentsdienste für ihre Verwaltungstätigkeit sowie die Krankenkassen, soweit sie als Bundesorgane Bundesrecht vollziehen.20 Nicht erfasst werden die eidgenössischen Gerichte. Die vorgeschlagene Regelung ist aber gemäss den im Anhang geänderten Gerichtsgesetzen sinngemäss auf sie anwendbar.

18 SR 510.10 19 SR 172.010.1

20 Vgl. dazu Basler Kommentar Datenschutzgesetz, Urs Maurer-Lambrou/Simon Kunz,

Art. 2 R. 12 ff., Thomas Sägesser, Stämpflis Handkommentar zum RVOG, Art. 2 Rz. 16 ff.)

Personendaten sind nach Artikel 3 Buchstabe a DSG alle Angaben, die sich auf eine bestimmte oder bestimmbare Personen beziehen. Es kann sich um Rand- oder Inhaltsangaben handeln. Wie explizit festgehalten wird, gilt das Verbot der Aufzeichnung und Auswertung von Personendaten, die bei der Nutzung der elektronischen Infrastruktur anfallen, unabhängig davon, ob die elektronische Infrastruktur vom Bund selbst oder in dessen Auftrag von einer externen Firma betrieben wird. Das auftraggebende Organ ist also für die Einhaltung der Vorschriften durch die beauftragte Firma verantwort- lich (vgl. Art. 10a DSG). Die Rechte der Nutzerinnen und Nutzer in Bezug auf die Datenbearbeitung gestützt auf die vorgeschlagenen Bestimmungen richten sich nach dem Datenschutzgesetz. Laut Artikel 16 DSG hat die Datenherrin für die Einhaltung des Datenschutzes zu sorgen. Die elektronische Infrastruktur des Bundes wird im Wesentlichen vom Bundesamt für Informatik und Telekommunikation (BIT) betreut. Dieses ist deshalb in vielen Anwendungsfällen als Datenherrin zu betrach- ten, auch wenn es die Aufzeichnung und Auswertung in der Regel auf Wunsch einer andern Verwaltungseinheit vornimmt. Begehren gestützt auf die Artikel 8 und 25 DSG um Auskunft über Datenbearbeitung, Berichtigung oder Vernichtung von Daten sowie um Unterlassung von Datenbearbeitung hätten sich in diesen Fällen somit an das BIT zu richten. Nicht Adressat der Bestimmungen sind die kantonalen und kommunalen Organe bzw. ihre Angestellten, die Bundesrecht anwenden, da sie dadurch nicht zu Bundes- organen werden. Hingegen sind Kantons- und Gemeindeangestellte ebenso wie Privatpersonen und Firmen, die z.B. Online-Abfragen tätigen oder im Mailverkehr mit einer Bundesstelle stehen, als indirekte Adressatinnen und Adressaten der Norm geschützt. Daten, die bei der Nutzung der elektronischen Infrastruktur anfallen, setzen nicht voraus, dass die indirekte Adressatin oder der indirekte Adressat aktiv geworden ist. Auch die Daten von Personen, die mit einem Mail angeschrieben oder per Telefon angerufen wurden, werden erfasst, desgleichen die Daten von Personen, die von Videokameras in Bundesgebäuden gefilmt werden. Der Nebensatz relativiert das Verbot: Die Datenbearbeitung, bestehend aus der Aufzeichnung der Daten und deren Auswertung, ist ausnahmsweise zulässig, wenn

dies zu einem der in Artikel 57l–57o abschliessend aufgezählten Zwecke erforder- lich ist. Absatz 2 bildet die formellgesetzliche Grundlage, um auch sensible Daten, d.h. besonders schützenswerte Personendaten und Persönlichkeitsprofile im Sinne von Artikel 3 Buchstabe c und d DSG, aufzuzeichnen und auszuwerten, soweit es ein in Artikel 57l–57o genannter Zweck nötig macht.

Art. 57k Elektronische Infrastruktur Der Begriff der elektronischen Infrastruktur wird weit gefasst und bewusst nur beispielhaft umschrieben, damit der technische Fortschritt nicht zu einer ständigen Anpassung der gesetzlichen Grundlagen zwingt. Grundsätzlich sollen alle elektroni- schen Arbeits-, Hilfs- und Kontrollmittel erfasst werden, welche die Bundesorgane ihren Angestellten, allenfalls aber auch Dritten, zur Verfügung stellen. Es kann sich dabei sowohl um stationäre als auch um mobile Geräte handeln.

Art. 57l Aufzeichnung von Personendaten Das Bundesorgan oder die von ihm betraute Firma darf die bei der Nutzung seiner elektronischen Infrastruktur anfallenden Personendaten ausschliesslich zu den in dieser Bestimmung genannten Zwecken aufzeichnen. Die Aufzeichnung ist nur zulässig, wenn und soweit sie nötig ist, um anschliessend eine Auswertung nach den Artikeln 57m-57o vorzunehmen; es gilt der Verhältnismässigkeitsgrundsatz. Aufge- zeichnet werden dürfen alle Personendaten, unabhängig davon, ob sie sich auf eine bestimmte oder einer bestimmbare Person beziehen. Alle zu einem bestimmten Zweck gespeicherten Daten dürfen zu diesem Zweck ausgewertet werden, allerdings nur nicht personenbezogen (vgl. Art. 57m). Eine personenbezogene stichprobenweise Auswertung, deren Ergebnisse Rückschlüsse auf bestimmte Personen erlauben (nicht namentliche personenbezogene Auswer- tung), ist nur zulässig, wenn zusätzlich einer der in Artikel 57n genannten Zwecke gegeben ist. Eine Auswertung, deren Ergebnis sich auf eine bestimmte Person bezieht (namentliche personenbezogene Auswertung) ist nur zulässig, wenn dies zu einem der in Artikel 57o genannten Zwecke geschieht. Die Aufbewahrung und das Löschen der Daten als besondere Bearbeitungsformen werden in der Verordnung näher geregelt (gestützt auf Art. 57q Bst. a). Mit Buchstabe a wird eine gesetzliche Grundlage geschaffen für die unabdingbare und schon heute praktizierte Erstellung von Sicherungskopien (Backups). Buchstabe b erlaubt, die Daten über die Nutzung der elektronischen Infrastruktur (u.a. die Daten über den Auf- und Abbau elektronischer Verbindungen sowie über Abläufe in Anwendungen, in Datenbanken und in Servern) zu folgenden Zwecken aufzuzeichnen: – Die technische Wartung des Systems und die Informations- und Dienstleis- tungssicherheit kann unter Umständen nur durch Aufzeichnung und Auswer- tung gewährleistet werden (Ziff. 1 und 2). Genügt eine nicht personenbezo- gene Auswertung nicht, muss eine Auswertung nach den Artikeln 57n und 57o in Betracht gezogen werden. – Für die allgemeine Kontrolle der Einhaltung von Nutzungsreglementen dür- fen alle Daten über die Nutzung der elektronischen Infrastruktur aufgezeich- net werden, um so z.B. festzustellen, in welchem Umfang unerlaubte Inter- netseiten aufgerufen werden (Ziff. 3). – Eine Aufzeichnung ist zulässig, um den Zugriff auf Datensammlungen zu

rekonstruieren. Dies ist nötig, damit in einer nicht personenbezogenen Aus- wertung nach Artikel 57m anhand der aufgezeichneten Daten nachvollzogen werden kann, von welchen Computern aus wann eine Datenbank konsultiert wurde und ob bzw. welche Änderungen vorgenommen wurden (Ziff. 4). – Es muss auch zulässig sein, die Benutzung der elektronischen Infrastruktur zu erfassen, um kostenpflichtige Leistungen gemäss Artikel 57o Buchstabe d dem Dienstleistungsbezüger fakturieren zu können (Ziff. 5). Buchstabe c ermöglicht beispielsweise die Aufzeichnung von Daten, die benötigt werden für eine Auswertung nach Artikel 57m im Hinblick auf eine Änderung der Blockzeiten oder im Hinblick auf Massnahmen des Gesundheitsmanagements. Der Zutritt zu den Räumlichkeiten der Bundesorgane muss teilweise – aus Gründen des Personen- oder des Sachschutzes – elektronisch gesichert werden. Damit kann

beispielsweise im Falle eines Diebstahls die Täterschaft leichter ermittelt werden. Buchstabe d schafft die rechtliche Grundlage für die Aufzeichnung (Speicherung) der Personendaten, die mit dem Betrieb der elektronischen Infrastruktur anfallen. Nicht hier geregelt wird die Frage, wann die Installation der erforderlichen Infra- struktur zulässig ist und ob eine Echtzeitüberwachung erfolgen darf. Eine Auswer- tung der gespeicherten Raumüberwachungsdaten wird in der Regel nur in Bezug auf bestimmte Personen möglich sein bzw. Sinn machen, was jedoch nur zulässig ist, wenn die Voraussetzungen nach Artikel 57o erfüllt sind. Die vorliegende Regelung kommt indessen wie alle anderen dieses Artikels nur zum Zug, wenn die Bearbei- tung der bei der Nutzung der elektronischen Infrastruktur anfallenden Daten nicht bereits durch ein Spezialgesetz geregelt wird (vgl. Art. 57i). Die Datenbearbeitung zu Zwecken der Forschung und der Statistik braucht in dieser Bestimmung nicht ausdrücklich erwähnt zu werden: Sie ist laut Artikel 22 DSG zulässig.

Art. 57m Nicht personenbezogene Auswertung Die nach Artikel 57l zu einem bestimmten Zweck aufgezeichneten Daten dürfen nur so ausgewertet werden, dass aus den Ergebnissen keine Rückschlüsse auf bestimmte Personen möglich sind. Das Ergebnis der Auswertung enthält mit andern Worten nur völlig anonymisierte Daten. Möglich ist auch, bei der Auswertung verschiedene Zwecke zu kombinieren (z.B. Vergleich der Arbeitszeit-Kontrolldaten mit den Daten über den Zugriff der betref- fenden Person auf eine Datensammlung).

Art. 57n Nicht namentliche personenbezogene Auswertung Die nach Artikel 57l zu einem bestimmten Zweck aufgezeichneten Daten dürfen zu den hier genannten Zwecken stichprobenweise so ausgewertet werden, dass das Ergebnis Rückschlüsse auf das Verhalten einzelner Personen erlaubt, diese jedoch nicht namentlich bekannt sind. Auf diese Weise dürfen die aufgezeichneten Rand- daten ausgewertet werden, sodass die Nutzung der elektronischen Infrastruktur in einzelnen Verwaltungseinheiten analysiert werden kann. Beispielsweise kann gestützt auf Artikel 57n in Verbindung mit Artikel 57l Buchstabe b Ziffer 3 festge- stellt werden, wie oft eine bestimmte Internetseite (z.B. Facebook) von den Ange- stellten eines Bundesamtes aufgerufen wurde, ohne dass aus dieser Auswertung auf das Verhalten einer namentlich bekannten Person geschlossen werden könnte. Gleichermassen können die Daten über die Arbeitszeiten des Personals ausgewertet werden. Alle übrigen aufgezeichneten Daten, z.B. der Betreff im Mailverkehr oder die Anzahl Druckaufträge, dürfen nicht auf diese Weise ausgewertet werden.

Art. 57o Namentliche personenbezogene Auswertung Eine Auswertung der gemäss Artikel 57l aufgezeichneten Daten, deren Ergebnis Rückschlüsse auf das Verhalten einer bestimmten Person zulässt, kann datenschutz- rechtlich besonders heikel sein. Sie ist deshalb nur zu den in dieser Bestimmung genannten Zwecken zulässig. Der Grundsatz der Verhältnismässigkeit gebietet zudem, sich mit einer nicht namentlichen personenbezogenen Auswertung zu begnügen, wenn diese ausreicht, um ein bestimmtes Ziel zu erreichen.

Die namentliche Auswertung wird in der Regel vom Bundesorgan durchgeführt, das die Infrastruktur betreibt. Der Anstoss dazu kann wie in den Fällen nach den Arti- keln 57l–n von einem anderen Bundesorgan ausgehen, das die Daten für die im Gesetz erwähnten Zwecke benötigt. Das auftraggebende Bundesorgan muss glaub- haft darlegen, zu welchem Zweck es die bearbeiteten Daten benötigt und zu verwen- den gedenkt. Es ist nach Artikel 16 Absatz 1 DSG für den Datenschutz verantwort- lich. Die Auswertung erlaubt dem Bundesorgan, die erforderlichen Massnahmen zu treffen, wozu u.U. die Einleitung eines Disziplinarverfahrens oder Strafverfahrens gehören kann. Die Auswertung ohne Information der betroffenen Person ist nur zulässig, wenn keine besonders schützenswerten Personendaten betroffen sind oder die Voraussetzungen von Artikel 7a Absatz 4 DSG erfüllt sind. Die Details werden auf Verordnungsstufe geregelt. Buchstabe a lässt eine namentliche Auswertung zu, wenn in einem konkreten Ein- zelfall gegenüber einer bestimmten Person der Verdacht einer missbräuchlichen Verwendung der elektronischen Infrastruktur besteht oder um mit einer nicht per- sonenbezogenen Auswertung festgestellte Missbräuche der elektronischen Infra- struktur zu individualisieren; namentliche stichprobenweise Prüfungen oder syste- matische Auswertungen ohne konkreten Verdacht sowie Rasterfahndungen sind dagegen nicht zulässig. Buchstabe b erlaubt beispielsweise die individualisierte Auswertung, wenn diese für das Auffinden von Störungsursachen nötig ist. Buchstabe c lässt die namentliche Auswertung zu, um elektronische Dienstleistun- gen bereit stellen zu können. So ist beispielsweise das Zurücksetzen eines Passwor- tes für die Computerbenutzung nur mit dieser Art von Auswertung möglich. Buchstabe d erlaubt die Zusammenstellung der auf eine Person bezogenen Daten, um ihr Rechnung für die gebührenpflichtige Beanspruchung der elektronischen Infrastruktur zu stellen. Buchstabe e erfasst unter anderem die monatliche Auswertung der Arbeitszeitdaten, mit der eine vorgesetzte Person beispielsweise die Anwesenheit der ihr unterstellten Personen feststellen und das Ausmass an Überzeit ihrer Mitarbeiterinnen und Mit- arbeiter kontrollieren kann.

Art. 57p Verhinderung von Missbrauch Diese Bestimmung konkretisiert Artikel 7 DSG. Der Missbrauch der elektronischen Infrastruktur und die Missachtung von Nutzungsreglementen soll primär durch präventive technische und organisatorische Massnahmen verhindert werden. Nur soweit diese Massnahmen nicht ausreichen, soll von der Datenbearbeitung im Sinne der Artikel 57l ff. Gebrauch gemacht werden.

Art. 57q Ausführungsbestimmungen Zunächst ist darauf hinzuweisen, dass es sich vorliegend oft um Personendaten handelt, die zunächst Bestandteil teils sehr grosser Datenmengen bilden, die in einem ersten Schritt – vor der Auswertung – einer Aufbereitung bedürfen (so sind beispielsweise die Internetverbindungen einer bestimmten Person von allen übrigen Internetverbindungen auszuscheiden, was unter Umständen mit einem beträchtlichen Aufwand verbunden ist).

Die Art und Weise, wie die Daten nach der Aufzeichnung weiter bearbeitet werden dürfen, ist genau zu regeln. Auf Gesetzesstufe genügt indessen ein Hinweis auf die wichtigsten Fragen, für die auf Verordnungsstufe eine Antwort zu geben ist. So hat der Bundesrat insbesondere zu regeln, wer berechtigt und zuständig ist für die Auf- zeichnung und die Aufbewahrung der Daten. Zudem muss er regeln, welche Daten wie lange aufzubewahren bzw. wann sie zu vernichten sind (Bst. a). Im Weiteren ist festzulegen, unter welchen Modalitäten die Daten weiter bearbeitet und insbeson- dere ausgewertet werden dürfen (Bst. b). Schliesslich muss geregelt werden, wann welches Organ wie Zugriff auf die Daten und die Datenauswertung hat (Bst. c). Die zuständigen Bundesorgane haben das Nötige vorzukehren, damit gespeicherte und bearbeitete Daten vor dem Zugriff unbefugter Dritter angemessen geschützt sind (Bst. d). Diese technischen Punkte können indessen auf Verordnungsstufe näher geregelt werden.

2.3 Änderung bisherigen Rechts

Die für Bundesorgane vorgesehene Regelung soll auch für die eidgenössischen Gerichte gelten, soweit das Datenschutzgesetz auf sie anwendbar ist und es sich um ihre Verwaltungstätigkeit handelt. Da die Gerichte vom Geltungsbereich des RVOG nicht erfasst werden, ist in den drei spezifischen Erlassen der Gerichte ein Verweis aufzunehmen, wonach die neuen Datenschutzregeln des RVOG für die eidgenössi- schen Gerichte sinngemäss Anwendung finden. Für das Ausführungsrecht ist im Bereich der Gerichte nicht der Bundesrat zuständig, sondern sind es die Gerichte selbst. Es wird also an ihnen sein, die notwendigen Ausführungsbestimmungen für ihren Bereich zu erlassen.

3 Auswirkungen

3.1 Auswirkungen auf den Bund

Die Vorlage hat keine finanziellen oder personellen Auswirkungen auf den Bund. Sie schafft Rechtsgrundlagen für die heutige Praxis.

3.2 Auswirkungen auf Kantone und Gemeinden

Die Vorlage hat keine finanziellen Auswirkungen auf die Kantone und die Gemein- den. Kantone und Gemeinden sind betroffen, wenn sie die elektronische Infrastruktur des Bundes nutzen: In diesem Fall darf der Bund die Randdaten und allenfalls weitere Daten der kantonalen und kommunalen Nutzerinnen und Nutzer zu den gesetzlich vorgesehenen Zwecken bearbeiten. In aller Regel wird es sich dabei um allgemeine statistische Auswertungen handeln.

3.3 Weitere Auswirkungen

Die Vorlage hat weder Auswirkungen auf die Volkswirtschaft noch auf die Umwelt und künftige Generationen oder die Gleichstellung von Mann und Frau.

4 Verhältnis zur Legislaturplanung und

zum Finanzplan Die Vorlage ist weder in der Botschaft vom 23. Januar 200821 über die Legislatur- planung 2007–2011 noch im Bundesbeschluss vom 18. September 200822 über die Legislaturplanung 2007–2011 angekündigt. Ihre gestaltende Kraft und damit die politische Bedeutung ist bescheiden; im Vordergrund steht das Anliegen, der heuti- gen Praxis eine Rechtsgrundlage zu verschaffen. Die Vorlage ist indessen nicht überflüssig. Sie macht die Datenbeschaffung und -bearbeitung transparent und ermöglicht so eine Kontrolle.

5 Rechtliche Aspekte

5.1 Verfassungsmässigkeit und Verhältnis

zum Datenschutzgesetz Die vorgeschlagenen Regeln zur Beschaffung und Bearbeitung von Daten betreffen die Regierungs- und Verwaltungsorganisation und fallen damit in die Zuständigkeit der Bundesversammlung gemäss Artikel 173 Absatz 2 BV. Regeln zur Datenbearbeitung haben den grundrechtlichen Anspruch auf Schutz vor Missbrauch persönlicher Daten und auf informationelle Selbstbestimmung zu res- pektieren (Art. 13 Abs. 2 BV i.V.m. Art. 10 Abs. 2 BV). Die vorliegende Regelung könnte diese Grundrechte beeinträchtigen, weil sie die Aufzeichnung und Bearbei- tung zahlreicher und persönlicher Daten durch den Bund erlaubt. Diese Massnahme setzt als Grundrechtseinschränkung eine formell-gesetzliche Grundlage sowie die Einhaltung des Grundsatzes der Verhältnismässigkeit und das Vorliegen eines öffentlichen Interesses voraus. Mit der Vorlage wird diesen Anforderungen Rech- nung getragen. Die Vorlage beachtet die Leitplanken des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz, indem sie die Bearbeitung der bei der Nutzung der elektronischen Infrastruktur anfallenden Daten auf eine gesetzliche Grundlage stellt.

21 BBl 2008 753

22 BBl 2008 8543

5.2 Vereinbarkeit mit internationalen Verpflichtungen

der Schweiz Die mit dieser Vorlage beantragte Regelung steht im Einklang mit dem Überein- kommen vom 28. Januar 198123 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und mit dem Zusatzprotokoll vom 8. November 200124 zu diesem Übereinkommen bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung.

23 SR 0.235.1 24 SR 0.235.11

Botschaft zur Änderung des Regierungs- und Verwaltungsorganisationsgesetzes (Datenschutz bei der Nutzung der elektronischen Infrastruktur) | Lexipedia | Lexipedia