a) Programm Nationale Datenbewirtschaftung: Die Datenbewirtschaftung der öffentlichen Hand soll durch die Mehrfachnutzung von Daten einfacher und effizienter werden. Aus Sicht des EDÖBs berge dies „erhebliche datenschutzrechtliche Risiken“. So sei insbesondere sicherzustellen, dass das "Once-Only"-Prinzip nicht dazu führe, den Kreis von Zugriffsberechtigten zu erweitern. Weiter müsse zwingend geregelt werden, wer welche Daten zu welchem Zweck bearbeiten dürfe. Zudem sei klar zwischen Datenbearbeitungen zu statistischen Zwecken und solchen zu anderen Zwecken zu unterscheiden. Darüber hinaus müsse transparent ersichtlich sein, wie die Datenerhebung, die weitere Datenbearbeitung und die Zugriffsmöglichkeiten geregelt seien (vgl. S. 19).
b) eGovernment: Mit Blick auf das totalrevidierte Datenschutzgesetz (DSG), das voraussichtlich ab Mitte kommenden Jahres anwendbar sein wird, bereitet der EDÖB „die Einführung von zwei Online-Meldeportalen für die vom neuen DSG vorgesehenen Meldungen von Datenverlusten und Bekanntgaben von Datenschutzberaterinnen und -beratern vor“ (vgl. S. 21).
c) Zulässigkeit von Background Checks im Bewerbungsverfahren: Ausgedehnte Personensicherheitsprüfungen seien in Bereichen, in denen Arbeitnehmende Zugang zu sensiblen Informationen haben i.d.R. verhältnismässig und damit zulässig. Dies sei z.B. im Banken- oder Sicherheitssektor der Fall. Unabhängig davon sei der Arbeitgeber aufgrund des Transparenzgebots verpflichtet, die betroffene Person über den Background Check und die dabei erfolgenden Datenbearbeitungen und Auswertungen zu informieren (vgl. S. 47).
d) Weitergabe von Mitgliederdaten an Sponsoren: Der EDÖB untersuchte die Frage, ob es für Vereine zulässig sei, einen höheren Mitgliederbeitrag von denjenigen Mitgliedern zu erheben, die der Weitergabe ihrer Daten widersprochen haben. Dabei kam er u.a. zum Schluss, dass Vereine „ohne die gültige Einwilligung der betroffenen Personen keine Daten an Sponsoren weitergeben“ dürfen und „wenn die Zustimmung in Form eines Opt-out erfolgt, ist es unerlässlich, dass die Mitglieder eine einfache Möglichkeit haben, der Weitergabe ihrer Daten zu widersprechen, ohne dadurch einen unverhältnismässigen Nachteil zu erleiden“. Gemäss EDÖB könne dann von einem unverhältnismässigen Nachteil ausgegangen werden, wenn "die Erhöhung des Beitrags so hoch ist, dass sich die betroffenen Personen praktisch gezwungen fühlen, der Datenbekanntgabe zuzustimmen" (vgl. S. 51).
Im Zusammenhang mit der Weitergabe von Personendaten kennt das geltende sowie künftige DSG grundsätzlich kein Einwilligungserfordernis. Solange die Weitergabe gegenüber den betroffenen Personen (i.c. den Vereinsmitgliedern) transparent gemacht worden ist, muss weder eine Einwilligung noch ein anderer Rechtfertigungsgrund geltend gemacht werden - es sei denn, bei den weitergegebenen Daten handelt es sich um besonders schützenswerte Personendaten oder Persönlichkeitsprofile (vgl. Art. 12 Abs. 2 lit. c DSG). Damit ist auch der Teilaspekt des „unverhältnismässigen Nachteils“ als vermeintliche Voraussetzung für eine freiwillige Einwilligung vorliegend irrelevant. Er müsste ohnehin im Rahmen der Privatrechtsautonomie bzw. Vereinsfreiheit und nicht nur isoliert aus der Sicht des DSG geprüft werden.
Michal Cichocki