Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat erste Zahlen zu seiner Tätigkeit als Aufsichtsbehörde gemäss dem neuen Datenschutzgesetz (DSG) in der Schweiz veröffentlicht.
Mit dem neuen DSG können Anzeigen beim EDÖB eingereicht werden und Verantwortliche sind verpflichtet, Verletzungen der Datensicherheit mit einem hohen Risiko zu melden.
Ferner kann der EDÖB gegenüber Verantwortlichen Verfügungen erlassen. Private Verantwortliche, die eine solche Verfügung missachten, riskieren Strafverfahren und persönlichen Bussen bis zu 250’000 Franken. Ob es schon zu solchen Strafverfahren gekommen ist, weiss ich nicht.
EDÖB: Zahlen zum neuen DSG per 5. November 2024
1’183 Anzeigen wegen Verletzungen des Datenschutzgesetzes
Beim EDÖB gingen bis am 5. November 2024 als Stichtag insgesamt 1’183 Anzeigen wegen Verletzungen des DSG ein.
Der EDÖB erklärt nicht, bei wie vielen Anzeigen aus seiner Sicht das DSG tatsächlich verletzt wurde und gegen welche angeblichen Rechtsverletzungen sich die Anzeigen überhaupt richteten.
294 Anzeigen sind beim EDÖB noch hängig. Die übrigen 889 Anzeigen wurden abgeschlossen, wobei der EDÖB nicht erklärt, wie die Anzeigen abgeschlossen wurden.
293 Meldungen über Verletzungen der Datensicherheit
Die Zahl der Meldungen über Verletzungen der Datensicherheit liegt inzwischen bei 293. Wie viele Meldungen freiwillig erfolgten, erklärt der EDÖB nicht.
Die Zahl lässt darauf schliessen, dass Verantwortliche bei vielen Verletzungen der Datensicherheit kein hohes Risiko sehen.
86 Interventionen sowie 26 Vorabklärungen und Untersuchungen
Bei den «Aufsichtshandlungen» zeigt sich die Vorliebe des EDÖB für informelles Handeln. Der EDÖB berichtet von 86 «niederschwelligen Interventionen», die in rund 90 Prozent von den Verantwortlichen befolgt wurden. Die Verantwortlichen folgten in diesen Fällen demnach der informell geäusserten Meinung des EDÖB.
Der EDÖB kennt auch noch «informelle Vorabklärungen», nennt dazu aber keine Zahlen. In diesen Fällen wird informell abgeklärt, ob eine formelle Untersuchung eröffnet werden soll. Das geschieht normalerweise, wenn Verantwortliche die informell geäusserte Meinung des EDÖB bei einer «niederschwelligen Intervention» nicht teilen.
Im formellen Verwaltungsrecht bewegt sich der EDÖB mit den bislang 26 «nach neuem Recht eröffneten Vorabklärungen und Untersuchungen». Sieben Vorabklärungen und Verwaltungsverfahren wurden, so der EDÖB, mit nicht genanntem Ergebnis abgeschlossen. Wie häufig eine Verfügung erlassen wurde, erklärt der EDÖB nicht.
Merkblatt «Untersuchung von Verstössen»
Im Zusammenhang mit den verwendeten Begriffen zu den veröffentlichten Zahlen verweist der EDÖB auf sein Merkblatt «Untersuchung von Verstössen gegen Datenschutzvorschriften durch den EDÖB» vom Oktober 2024 (Sicherheitskopie).
Zwei hängige Verfahren zum neuen Datenschutzgesetz am Bundesverwaltungsgericht
Nachtrag: Anwaltskollege David Vasella verweist bei datenrecht.ch auf Zahlen, die nicht bekannt sind:
- «Anzahl Interventionen nach der Meldung einer Verletzung der Datensicherheit
- Gegenstand der Untersuchungen aufgeschlüsselt nach Bearbeitungsgrundsätzen, Betroffenenrechten und Governance-Pflichten
- Anzahl Strafanzeigen bei Offizialdelikten (vermutlich noch keine oder fast keine)
- Prozentsatz freiwilliger Meldungen von Sicherheitsverletzungen
- Art der gemeldeten Sicherheitsverletzungen
- Anzahl gemeldeter Datenschutzberater vs. Anzahl meldepflichtiger Organisationen (Bundesbehörden einschliesslich verwaltungsexterner Organisationen wie bspw. Sozialversicherungsträgern)
- Anzahl Zugangsgesuche beim EDÖB nach dem BGÖ mit Bezug auf Anzeigen, Meldungen und Aufsichtshandlungen (jedenfalls nicht null)»