Fragen im Zusammenhang mit der Organisation des Datenschutzes innerhalb der Bundesverwaltung Bericht der Geschäftsprüfungskommission des Nationalrates vom 21. November 2003 Stellungnahme des Bundesrates vom 24. März 2004
Sehr geehrter Herr Präsident, sehr geehrte Damen und Herren, wir unterbreiten Ihnen gemäss Artikel 112 Absatz 3 ParlG die Stellungnahme des Bundesrates zum Bericht der Geschäftsprüfungskommission des Nationalrates vom 21. November 2003 betreffend Fragen im Zusammenhang mit der Organisation des Datenschutzes innerhalb der Bundesverwaltung.
Wir versichern Sie, sehr geehrter Herr Präsident, sehr geehrte Damen und Herren, unserer vorzüglichen Hochachtung.
24. März 2004
Im Namen des Schweizerischen Bundesrates Der Bundespräsident: Joseph Deiss Die Bundeskanzlerin: Annemarie Huber-Hotz
2004-0215
1431
Stellungnahme 1
Einleitung
Am 22. Januar 2003 führte die Subkommission «Allgemeine Fragen» der Geschäftsprüfungskommission des Nationalrates (GPK-N) beim Eidgenössischen Datenschutzbeauftragten (EDSB) einen Dienststellenbesuch durch. Im Anschluss an diesen Besuch beschloss die Subkommission, die Organisation des Datenschutzes im Rahmen von grossen Projekten in der Bundesverwaltung, welche Bearbeitungen von Personendaten voraussetzen, näher zu untersuchen. Zu diesem Zweck wurde eine Reihe von Anhörungen durchgeführt. Anlässlich der Sitzung vom 21. November 2003 wurde der Bericht von der GPK-N einstimmig verabschiedet und an den Bundesrat zur Stellungnahme bis Ende März 2004 überwiesen.
2
Stellung des Datenschutzes in der Bundesverwaltung
Der Bundesrat ist sich bewusst, dass mit der rasanten Entwicklung der Technologien die Bearbeitungen von Personendaten stark zunehmen und die Aufgabe des Datenschutzes immer komplexer und wichtiger werden. Der Bundesrat misst dem Datenschutz in der Bundesverwaltung grosse Bedeutung zu und will ihm weiterhin einen zentralen Platz einräumen. Bei allen Vorlagen, welche für den Datenschutz von Bedeutung sind, wird der EDSB ständig im Rahmen der verwaltungsinternen Verfahren begrüsst. Die Ansicht des EDSB wird im Mitberichtsverfahren dem Antrag an den Bundesrat beigegeben. Auf diese Weise ist die Einhaltung des Datenschutzes optimal sicher gestellt. Auf Verwaltungsebene besteht zudem unter Leitung der Bundeskanzlei eine interdepartementale Gruppe der Datenschutzberaterinnen und -berater der Departemente, der auch eine Vertretung des EDSB angehört. Sie ermöglicht nicht nur eine Koordination zwischen den Departementen, sondern auch mit dem EDSB.
3
Neuausrichtung der Tätigkeiten des Eidgenössischen Datenschutzbeauftragten und Ressourcenfrage
Der Bundesrat hat zur Kenntnis genommen, dass der EDSB seine Tätigkeit neu ausrichtet, indem er seine Aufsichtstätigkeiten systematisch ausbaut und die beratende Tätigkeit einschränkt. So wird der EDSB künftig nicht mehr alle Verwaltungsprojekte, bei denen sich datenschutzrechtliche Fragen stellen, durch die Teilnahme an Arbeitsgruppen oder Kommissionen begleiten, sondern möchte seine Beratungstätigkeit auf diejenigen Fälle konzentrieren, welche besondere Kenntnisse verlangen oder besonders sensibel erscheinen. Ferner wird er Anfragen der Departemente und Ämter nicht mehr beantworten, ausser diese wurden ihm über die Datenschutzberaterin oder den Datenschutzberater des Departements oder des Amtes zugeleitet. Eine weitere Ausnahme gilt für Gesetzgebungsprojekte, zu denen der EDSB im Rahmen der verwaltungsinternen Verfahren weiterhin Stellung nehmen wird.
1432
Das Gesetz sieht vor, dass der EDSB die Aufsicht über Bundesorgane im Bereich der Einhaltung der Vorschriften des Datenschutzes wahrnimmt und in diesem Zusammenhang namentlich von sich aus oder auf Meldung Dritter hin einen Sachverhalt abklärt. Ferner beauftragt das Gesetz den EDSB, die Bundesorgane in Fragen des Datenschutzes zu beraten und zu für den Datenschutz relevanten Vorlagen Stellung zu nehmen.
Der EDSB ist im Rahmen der ihm gesetzlich obliegenden Aufgaben grundsätzlich autonom in seiner Aufgabenerfüllung. Der Bundesrat hat denn auch Verständnis, wenn angesichts finanzieller und ökonomischer Aspekte eine Fokussierung auf spezifische Aufgaben des Datenschutzes erfolgt. Für den Bundesrat ist aber unbestritten, dass die gesetzlich dem EDSB zugewiesenen Aufgaben im bisherigen Umfang zu erfüllen sind.
Die vom EDSB angestrebte Neuausrichtung setzt Ressourcen frei, die es ihm besser ermöglichen, seinen gesetzlichen Aufgaben nachzukommen. Der Bundesrat misst dem Datenschutz in der Bundesverwaltung einen hohen Stellenwert zu. Mit dem Voranschlag 2004 wurden dem EDSB zusätzliche Mittel bewilligt, welche die Finanzierung von drei neuen Stellen erlauben. Der Bundesrat ist aber auch der Überzeugung, dass den Bestimmungen des Datenschutzes innerhalb der Bundesverwaltung in aller Regel äusserst gewissenhaft nachgelebt wird. Er sieht daher keinen Anlass, die personellen Ressourcen des EDSB zusätzlich zu den bewilligten Krediten aufzustocken, zumal dies auch der generellen Stossrichtung im Rahmen der Entlastungsmassnahmen für den Bundeshaushalt widersprechen würde. Ein solches Signal würde auch in der Öffentlichkeit kaum verstanden.
Als Folge der Neuausrichtung des EDSB müssen die Departemente und Ämter Datenschutzaufgaben vermehrt selber wahrnehmen. Aus diesem Grund muss der Stellung der Datenschutzberaterinnen und -berater der Departemente und Ämter mehr Bedeutung zugemessen werden. Es ist für den Bundesrat deshalb wichtig, dass die organisatorische Funktion, die hierarchische Stellung und die Aufgaben der Datenschutzberaterin und des Datenschutzberaters der Departemente klar geregelt wird. Die Datenschutzberaterinnen und -berater müssen über die nötige Unabhängigkeit in der Wahrnehmung ihrer Aufgaben und über die erforderlichen Ressourcen zur Aufgabenerfüllung verfügen. Ferner müssen sie genügend
fachlich ausgebildet sein. Der Bundesrat vertritt die Haltung, dass die Wahrnehmung des Datenschutzes durch die Beraterinnen und Berater in den Departementen und Bundesämtern grundsätzlich im Rahmen den der Bundeskanzlei sowie den Departementen und ihren Bundesämtern zustehenden Ressourcen zu erfolgen hat. Der zunehmenden Bedeutung der Datenschutzberaterinnen und -berater ist Rechnung zu tragen.
1433
4
Bemerkungen zu den einzelnen Empfehlungen der Kommission
4.1
Empfehlung 1: Stellung der Datenschutzberaterinnen und -berater der Departemente und Ämter
Die Empfehlung hinsichtlich der einheitlichen, detaillierten und verbindlichen Regelung der Aufgaben und Kompetenzen der Datenschutzberaterin oder des Datenschutzberaters ist heute bereits teilweise erfüllt. Die Aufgaben der Datenschutzberaterin oder des Datenschutzberaters ergeben sich aus Artikel 23 der Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (VDSG)1. Es handelt sich zum einen um unterstützende Aufgaben, sei dies hinsichtlich der fachlichen Beratung oder der Information und Ausbildung der Mitarbeiterinnen und Mitarbeiter.
Zum andern obliegen den Beraterinnen oder Beratern mitwirkende Aufgaben beim Vollzug der Datenschutzvorschriften. Hingegen kommen ihnen weder aufsichtsrechtliche noch materielle Aufgaben etwa bei der Ausarbeitung von Vorlagen des Datenschutzes zu.
Die Anforderungen der Departemente und der Bundeskanzlei im Bereich Datenschutz sind aufgrund ihrer Grösse und der unterschiedlichen Sensibilität von Datensammlungen sehr verschieden. Heute bestehen aus diesem Grund keine einheitlichen für alle Verwaltungseinheiten geltenden detaillierten Regelungen und die Departemente oder Bundesämter haben im Rahmen der gesetzlichen Vorgaben die Aufgaben und Kompetenzen ihrer Beraterin oder ihres Beraters selber konkretisiert. Die Bundeskanzlei, das Eidgenössische Justiz- und Polizeidepartement und das Eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport kennen detaillierte Weisungen.
In seiner Botschaft vom 19. Februar 2003 über die Änderung des Datenschutzgesetzes (BBl 2003 2101) hat sich der Bundesrat bereit erklärt, die Stellung und Aufgaben der Datenschutzverantwortlichen zu regeln (Art. 11a Abs. 6 des Entwurfs).
Vorgesehen ist die Normierung auf Stufe der VDSG.
Die GPK-N empfiehlt, die direkte hierarchische Unterstellung der Datenschutzberaterin oder des Datenschutzberaters der Departemente und Ämter unter die Leitung des Departementes bzw. die Leitung der Verwaltungseinheit zu gewährleisten. Der Bundesrat steht dem Anliegen der Unabhängigkeit offen gegenüber und hat sich bereits in der erwähnten Botschaft vom 19. Februar 2003 zur Änderung des Datenschutzgesetzes für eine solche organisatorische Unabhängigkeit (direkte hierarchische Unterstellung, nicht weisungsgebunden) ausgesprochen (vgl. BBl 2003 2138).
Auch die mit der Neuausrichtung
des EDSB verbundene Stärkung der Bedeutung der departementalen Datenschutzberaterinnen und -berater verlangt eine gesicherte Unabhängigkeit bei der Aufgabenerfüllung. Der Bundesrat ist daher bereit, die Empfehlung entgegenzunehmen.
Weiter wird empfohlen, die inter- und innerdepartementalen Koordinationsinstrumente zu verbessern und zu stärken. Als interdepartementale Koordinations- und Kontrollinstrumente stehen bereits heute das Ämterkonsultations- und das Mitberichtsverfahren zur Verfügung. Zudem besteht die interdepartementale Gruppe Datenschutz unter der Leitung der Bundeskanzlei, wobei es sich dabei bislang nicht 1
SR 235.11
1434
um ein Koordinationsgremium im Sinn des Artikels 55 Regierungs- und Verwaltungsorganisationsgesetz (RVOG)2 handelt. Der Bundesrat ist grundsätzlich der Ansicht, dass sich die bestehenden interdepartementalen Koordinationsinstrumente bewährt haben. Allerdings ist er angesichts der Neuausrichtung des EDSB bereit zu prüfen, ob die Gruppe Datenschutz institutionalisiert werden soll. Im Bereich der innerdepartementalen Koordination empfiehlt der Bundesrat den Departementen hingegen, allfälligen Handlungsbedarf abzuklären. Dieser ist je nach Departement verschieden. Der Bundesrat ist der Auffassung, dass schlanke, effiziente und kostengünstige Zusammenarbeitsformen zu suchen sind.
Die Empfehlung der GPK-N betrifft sämtliche Departemente und die Bundeskanzlei. Der dabei ausgewiesene Koordinationsbedarf kann aus Sicht des Bundesrates am ehesten dann gewährleistet werden, wenn die Generalsekretärenkonferenz mit der Umsetzung betraut wird.
4.2
Empfehlung 2: Ausbildungsangebot für die Datenschutzberaterin und den Datenschutzberater
Als Folge der Neuausrichtung des Datenschutzbeauftragten werden Beratungsaufgaben sowie die Projektbegleitung zum grossen Teil an die Datenschutzberaterin oder den Datenschutzberater der Departemente und Ämter transferiert. Die Funktion der Datenschutzberaterin oder des Datenschutzberaters wird deshalb grössere Bedeutung gewinnen. Der Bundesrat teilt aus diesen Gründen die Auffassung, dass beim Ausbildungsangebot für die Datenschutzberaterin oder den Datenschutzberater Handlungsbedarf besteht. Beim EDSB ist ein Musterordner für die Datenschutzberaterinnen und -berater in Vorbereitung. Ein solcher Musterordner stellt eine sinnvolle Unterstützung dar und die entsprechenden Arbeiten sollten daher bald abgeschlossen werden. Zudem wird der EDSB eingeladen, für die Datenschutzberaterinnen und -berater der Bundesverwaltung ein Ausbildungsangebot zu entwickeln. Auf diese Weise soll sichergestellt werden, dass die mit der Neuausrichtung des EDSB einher gehende grössere Verantwortung der Datenschutzberaterinnen und -berater effektiv wahrgenommen werden kann.
4.3
Empfehlung 3: Angemessene Ressourcen für die Datenschutzberaterin oder den Datenschutzberater
Die Gruppe Datenschutz hat anfangs des Jahres 2002 eine Stellenbeschreibung für Datenschutzberaterinnen und -berater in der Bundeskanzlei und den Departementen ausgearbeitet. Dadurch sollte Klarheit über die Funktion und die zugehörigen Aufgaben geschaffen werden. Die Stellenbeschreibung wurde der Generalsekretärenkonferenz an ihrer Sitzung vom 31. Mai 2002 zur Kenntnisnahme unterbreitet.
Diese Stellenbeschreibung richtet sich im Sinne einer Empfehlung an die Bundeskanzlei und die Departemente. Sie soll ihnen dazu dienen, ausgerichtet auf ihre speziellen Bedürfnisse und ihre Grösse die Aufgaben der jeweiligen Datenschutzbe2
SR 172.010
1435
raterin oder des jeweiligen Datenschutzberaters zu umschreiben. Die im NormPflichtenheft beschriebenen Aufgaben gehen von einem Pensum von 20 % auf Stufe Bundeskanzlei und Departement aus. Dabei handelt es sich nicht um eine zwingende Vorgabe. Je nach Grösse der Verwaltungseinheit und der Intensität der Wahrnehmung des Datenschutzes auf Ebene der Bundesämter sind die benötigten Ressourcen verschieden und der Prozentbedarf höher oder tiefer anzusiedeln. Es liegt an den Departementen, den Bedarf zu formulieren. Die GSK hat die Stellenbeschreibung positiv zur Kenntnis genommen, gleichzeitig aber betont, dass daraus jedoch kein Zwang zur Schaffung neuer Stellen resultieren darf. Der Bundesrat teilt diese Auffassung und nimmt die Empfehlung der GPK-N in dem Sinn entgegen, dass die Departemente beauftragt werden, den Aufwand für Datenschutzaufgaben in Prozentzahlen zu beziffern und ins Pflichtenheft der Datenschutzberaterin oder des Datenschutzberaters aufzunehmen.
Der dargelegte Ressourcenbedarf bezieht sich nur auf die Stufe der Bundeskanzlei und der Departemente. Hingegen kann auf der Ebene der Bundesämter ein wesentlich grösserer Bedarf bestehen, weil die verwaltungsinterne Wahrnehmung des Datenschutzes in erster Linie ihnen als den tragenden Einheiten der Bundesverwaltung obliegt und auf Departementsstufe oftmals nur eine Koordinationsaufgabe erfolgt.
4.4
Empfehlung 4: Einbezug des EDSB in die Entwicklung des Datenschutzrechtes
Der Bundesrat teilt die Auffassung der GPK-N, die Gesetzgebungskompetenz im Datenschutzbereich beim Bundesamt für Justiz zu belassen und nicht dem EDSB zu übertragen. Der EDSB ist aber bei der Weiterentwicklung des Datenschutzrechtes beizuziehen. Die Empfehlung, mit klaren Verfahren zu gewährleisten, dass der Datenschutzbeauftragte seine Positionen zu den Entwicklungen des Datenschutzrechts geben kann, ist heute bereits erfüllt. Der EDSB wird regelmässig zu Fragen im Zusammenhang mit dem Datenschutz im Rahmen der Ämterkonsultation begrüsst. Wenn er auf Stufe Mitbericht Bemerkungen hat, werden diese von der Bundeskanzlerin in den Bundesrat eingebracht. Ferner sieht der Botschaftsleitfaden der Bundeskanzlei in Ziffer 3.4 die Darlegung von «anderen Auswirkungen» vor, wobei es um etwaige Auswirkungen auf den Datenschutz geht, insbesondere im Hinblick auf die Bearbeitung von Personendaten und die Einrichtung von OnlineVerbindungen sowie diesbezüglich getroffene Sicherheitsmassnahmen. Aus Sicht des Bundesrates ist daher bereits heute sicher gestellt, dass der Standpunkt des EDSB im Rahmen der Erarbeitung von Botschaften an das Parlament genügend berücksichtigt wird und zum Ausdruck kommt. Er sieht daher keinen Handlungsbedarf.
1436