Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 031 322 43 95, Fax 031 325 99 96 www.edoeb.admin.ch
Erhebung biometrischer Daten beim Erwerb einer Dauerkarte in den Sport- und Freizeitanlagen KSS Schaffhausen
Schlussbericht vom 11. April 2006
sowie
Anhang vom 6. November 2006
der Kontrolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäss Art. 29 des Bundesgesetzes über den Datenschutz (DSG)
Veröffentlicht am 24. November 2006 auf www.edoeb.admin.ch
2/34
Inhaltsverzeichnis Inhaltsverzeichnis..................................................................................................... 2
3/34
6.6 ZWECKBINDUNG DER DATENBEARBEITUNG....................................................................................23 6.7 DATENRICHTIGKEIT (ZUVERLÄSSIGKEIT, ANWENDBARKEIT) ............................................................23 6.8 DATENSICHERHEIT.......................................................................................................................23 6.9 AUSKUNFTSRECHT.......................................................................................................................24 7. Schlussfolgerungen ............................................................................................ 25 7.1 BEZÜGLICH DER KONTROLLE DER ERHEBUNG BIOMETRISCHER DATEN...........................................25 7.2 VERFAHREN UND WEITERES VORGEHEN........................................................................................25
Anhang vom 6. November 2006 zum Schlussbericht............................................. 27
4/34
Das neue Zugangskontrollsystem wurde von der KSS zum Zweck der Eindämmung von Missbräuchen bei der Benutzung persönlicher, nicht übertragbarer Dauerkarten eingesetzt. Nach einer halbjährigen Pilotphase wurde das neue System im Sommer 2005 definitiv eingeführt. Langfristig ist ein Ausbau des Systems für weitere Sport- und Freizeitangebote (wie Freibad im Sommer oder Eisbahn im Win- ter) geplant.
Umfang der Kontrolle Die Datenschutzkontrolle bezog sich auf die Datenabläufe im Zusammenhang mit dem neuen Zu- gangskontrollsystem. Der Schwerpunkt der lag dabei bei der Bearbeitung der erhobenen biometri- schen Daten.
Chronologie der Kontrolle Mitte Januar 2005 Der EDÖB erfährt von der Erhebung biometrischer Daten bei der KSS durch diverse Zeitungsberichte. Zudem wenden sich besorgte Bürger mit der Frage an den EDÖB, ob diese Datenerfassung rechtmässig sei. Aus Zeit- und Res- sourcengründen kann der EDÖB zu diesem Zeitpunkt nicht näher auf den Sachverhalt eingehen. Es wird aber der Entschluss gefasst, zu einem späte- ren Zeitpunkt eine Datenschutzkontrolle bei der KSS durchzuführen.
Juni 2005 Der EDÖB informiert die KSS schriftlich über die geplante Datenschutzkontrol- le betreffend das neue Zugangskontrollsystem sowie über eine geplante Sachverhaltsabklärung (=Augenschein) vor Ort. Zusätzlich bittet der EDÖB um Dokumentation über das neue System und um Beantwortung eines beige- legten Fragenkataloges.
Juni 2005 Die KSS beantwortet den Fragekatalog des EDÖB und bittet um Terminvor- schläge.
August 2005 Der EDÖB macht Terminvorschläge und bittet um Nennung der an der Sach- verhaltsabklärung anwesenden Personen. Zudem werden letzte Rückfragen gestellt.
August 2005 Die KSS beantwortet die letzten Rückfragen schriftlich. Der Termin für die Sachverhaltsabklärung vor Ort wird auf den 21. September 2005 festgelegt.
5/34
September 2005 Die Sachverhaltsabklärung muss von Seiten der KSS auf unbestimmte Zeit verschoben werden.
November 2005 Sachverhaltsabklärung des EDÖB bei der KSS in Schaffhausen mit den ver- antwortlichen Personen.
Dezember 2005 Der EDÖB kündigt der KSS das weitere Vorgehen der Datenschutzkontrolle per Email an.
Dezember 2005 Der EDÖB schickt ein Fact-Sheet an die KSS mit der Bitte um materielle Be- reinigung des Textes sowie Beantwortung aufgetretener Rückfragen.
Februar 2006 Die KSS bestätigt die Richtigkeit des Fact-Sheets und beantwortet die gestell- ten Rückfragen
Februar - März 2006 Analyse und Auswertung aller Unterlagen und Sachverhalte sowie Ausarbei- tung des Schlussberichtes durch den EDÖB.
April 2006 Verabschiedung des Schlussberichtes durch den EDÖB.
Sachverhaltsabklärung vor Ort vom 21. November 2005 4.1 Anwesende Personen Von Seiten der KSS waren der Präsident sowie der Betriebsleiter/Stellvertretende Direktor anwesend, von Seiten der Ticos AG (Ticos AG = Systemlieferant) waren der Projektleiter sowie der Proku- rist/Verkaufsleiter anwesend. Der EDÖB war durch eine Juristische Beraterin und einen Informatikbe- rater vor Ort vertreten.
4.2 Enrolment an der Kassentheke Für die Ausstellung einer Dauerkarte für das Hallenbad inkl. Wellnessbereich legt der Kunde einen persönlichen Ausweis vor. In der Erfassungsmaske werden von einem Mitarbeiter an der Kasse die Personalien des Kunden eingegeben. Zusätzlich zieht der Kunde einen Zeigefinger über einen Scan- ner. Das Abbild dieses Fingers (Anfangs- und Endpunkte, Gabelungen etc. der Fingerabdruck- Papillaren = Minutien) wird in ein Template umgewandelt und in einer Datenbank abgelegt. Es werden alle Minutien, die aus dem Fingerabdruck entnommen werden können, abgespeichert. Konkret sind dies 20-50 Minutien. Rohdaten des Fingerabdrucks werden keine erfasst. Nach diesem Vorgang erhält jeder Kunde eine Transponderkarte in Kreditkartenformat mit einer ein- maligen Karten-ID. Die Personalien des Kunden und das Template werden dieser Karten-ID zugeord- net. Auf der Karte sind keine Daten gespeichert. Eine Kennzeichnung (z.B. Unterschrift) der Karte ist nur optional, um mehrere Karten innerhalb einer Familie auseinander halten zu können. Die Transponderkarte hat eine Funkreichweite von ca. 5 cm. Anders als im Hallenbad wird im Wellnessbe- reich der Eintritt kontaktlos, ohne Einzug der Transponderkarte, gewährt. Die Systemlösung des Lieferanten erlaubt es, auch Karten ohne Templates oder Karten mit mehreren Templates auszustellen. Für Personen, die aufgrund mangelhafter oder fehlender biometrischer Merkmale nicht eingelesen werden können, kann auf die Aufnahme des Templates verzichtet werden. Bei schlechtem Einlesen könnten zur Verbesserung der Verifizierung am Kassendrehkreuz mehrere Templates des gleichen oder weiterer Finger aufgenommen werden.
6/34
4.3 Eintritt in das Hallenbad Der Kunde steckt die Transponderkarte in einen Kartenleser beim Drehkreuz. Es folgt die Aufforde- rung an den Kunden, seinen Zeigefinger über den Scanner zu rollen. Durch die Karten-ID wird auto- matisch das dazugehörige Template (= Referenzdatum) aufgerufen und mit dem abgeleiteten Templa- te des Fingerabdrucks des anwesenden Kunden abgeglichen. Es findet also kein zentraler 1:n Ver- gleich mit der ganzen Datenbank statt, sondern ein lokaler 1:1 Vergleich über die Karten-ID. Ist die Verifizierung gelungen, erhält der Kunde die Transponderkarte zurück und das Drehkreuz wird freige- geben (angezeigt durch ein grünes Lämpchen). Nach 3 Fehlerkennungen wird die Karte automatisch vom Lesegerät eingezogen. Sofern ein Kunde seine Transponderkarte vergessen hat, kann er sich an der Kasse melden. Der Kunde erhält gemäss Auskunft der KSS in diesem Fall unbürokratisch durch Namensnennung vom Kassenpersonal Einlass ohne seinen Fingerabdruck an der Kasse abgeben oder sich mit einem Aus- weis verifizieren zu müssen. Hier wird dem Kunden laut der Betriebsleitung grosses Vertrauen entge- gengebracht.
4.4 Aufklärung der Kunden Die Kunden wurden Anfang des Jahres 2005 persönlich beim Erwerb neuer resp. beim Umtausch bestehender Dauerkarten über das neue biometrische System informiert. Weiter wurde an der Kas- sentheke ein Info-Flyer aufgelegt. Bei der Sachverhaltsabklärung vor Ort waren hingegen keine Flyer an der Kassentheke aufgelegt oder direkt griffbereit. Der Flyer enthält die Überschrift „Ist der Datenschutz bei der biometrischen Fingerprint Erkennung und Identifikation gewährleistet?“. Im Flyer werden die Funktionsabläufe des neuen Systems in groben Zügen erklärt und die Gewährleistung des Datenschutzes hervorgehoben.
4.5 Gründe für die Einführung des neuen Systems Das alte Kartensystem war ca. 25 Jahre alt und nicht mehr zeitgemäss. Die KSS hatte mit dem alten Kassensystem keinen Überblick, wie viele Dauerkarten im Umlauf waren. Verlorengegangene oder gestohlene Karten konnten nicht gesperrt werden. Aus diesem Grund war das Missbrauchspotenzial sehr hoch. Auch konnten sich Kunden mit einer Dauerkarte Eintritt verschaffen, die nicht Ihnen, son- dern z.B. ihrem Partner oder einem minderjährigen Kind gehörte. Solche Missbräuche zu verhindern war unter dem alten System sehr schwierig. Die neuen Dauerkarten können von einer unberechtigten Person nicht verwendet werden, da ihr der Eintritt mit dieser Karte aufgrund der Nichtübereinstim- mung des Fingerabdrucks nicht gewährt wird. Gemäss Angaben der KSS hat sich der Umsatz von Januar 2005 bis November 2005 um gute 8% gesteigert, was mit der nun fehlenden Missbrauchsmög- lichkeit in Zusammenhang steht. Bei der Erfassung der biometrischen Daten von Kunden geht es pri- mär darum, den Missbrauch von Dauerkarten automatisiert zu verhindern. Des Weiteren liessen sich keinerlei Statistiken erstellen. Mit dem neuen Erfassungssystem lässt sich nun genau eruieren, aus welchen Regionen die Kundschaft herstammt. Eine solche Auflistung nach geographischer Herkunft hat die Geschäftsprüfungskommission Schaffhausen von der KSS ausdrück- lich verlangt (wegen den Subventionen des Kantons Schaffhausen und dem grenznahen deutschen Kundenstamm). Auch ist besser ersichtlich, wer welches Angebot nutzt. Die statistischen Auswertun- gen sind Web-basiert. Es gibt 6 vordefinierte Abfragemöglichkeiten für Auswertungen. Dieses Statis- tiksystem kann von den zugangsberechtigten Mitarbeitern der KSS genutzt werden. Weiter ist es mög- lich, Adresslisten der Kunden auszudrucken.
7/34
Ein weiterer Vorteil für die Kunden besteht darin, dass es auf den Abonnements-Karten keinen Geld- wert mehr hat (die alten Karten konnten mit Geldguthaben aufgeladen werden). Die Betriebsleitung wies darauf hin, dass die Akzeptanz der Kunden anfänglich etwas ablehnend war, heute jedoch sehr hoch sei. Diejenigen Kunden, die sich gegen das neue Zugangskontrollsystem ge- wehrt hätten, seinen vermutlich mehrheitlich Personen gewesen, die mit dem alten Kartensystem Missbrauch betrieben hätten.
4.6 Keine Alternativen zum neuen System Für Personen, die ihre biometrischen Daten für eine Dauerkarte nicht einlesen lassen wollen, besteht keine Alternative. Sie müssen auf eine Dauerkarte verzichten. Diese Kunden haben die Möglichkeit, herkömmliche Einzeleintritte oder 10-er Abonnemente zu kaufen, was unter Umständen teurer ist. Gemäss Auskunft der Betriebsleitung wurde denjenigen Kunden, die vor Januar 2005 eine Dauerkarte gekauft hatten und sich weigerten, ihre biometrischen Daten preiszugeben, eine Rückerstattung pro rata temporis angeboten.
8/34
5.2 Zweck der Datenbearbeitung 5.2.1 Ausgangslage Jede Bearbeitung von Personendaten stellt einen Eingriff in das Recht auf informationelle Selbstbe- stimmung gemäss Art. 13 Abs. 2 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV; SR 101) dar. Daher bedarf die Bearbeitung einer besonderen Rechtfertigung. Praktikabilitätserwägungen oder allgemeine Kundenfreundlichkeit stellten grundsätzlich keine ausrei- chende Rechtfertigung für die Bearbeitung biometrischer Daten dar. Gemäss Auskunft der KSS geht es beim Erfassen der biometrischen Daten ausschliesslich darum, den Missbrauch von Dauerkarten (Saisonabonnemente und Jahreskarten) automatisiert zu verhin- dern. Durch den Einsatz der automatisierten Fingerabdruckerkennung könne auf das aufwendige Sys- tem mit Gesichtsbildern (Fotos) verzichtet werden. Der Vorteil für die KSS läge darin, dass keine ma- nuelle Prüfung der Identität beim Badebesuch (z.B. visuelle Kontrolle eines auf der Karte angebrach- ten Fotos) vorgenommen werden müsse. Der Badegast identifiziere sich selbst durch das Einlesen des Fingerabdrucks. An der Sachverhaltsabklärung vor Ort wurde dem EDÖB auch mündlich mitgeteilt, dass das alte Kar- tensystem nicht mehr zeitgemäss war. Die Missbrauchsrate war sehr hoch, da mit dem alten Kassen- system kein Überblick bestand, wie viele Dauerkarten im Umlauf waren. Verlorengegangenen oder gestohlene Karten konnten nicht gesperrt werden. Auch konnten sich Kunden mit einer Dauerkarte Eintritt verschaffen, die nicht Ihnen, sondern z.B. ihrem Partner oder einem minderjährigen Kind ge- hörte. Die neuen Dauerkarten können von einer unberechtigten Person nicht verwendet werden, da der Eintritt mit dieser Karte aufgrund der Nichtübereinstimmung des Fingerabdrucks nicht gewährt wird. Gemäss Angaben der KSS hat sich der Umsatz von Januar 2005 bis November 2005 um gute 8% gesteigert, was mit der fehlenden Missbrauchsmöglichkeit in Zusammenhang steht. Als weiterer Grund für die Einführung des neuen Kassensystems macht die KSS die bis anhin fehlen- de Möglichkeit der statistischen Auswertung geltend. Mit dem neuen Erfassungssystem lässt sich genau eruieren, aus welchen Regionen die Kundschaft herstammt. Die Geschäftsprüfungskommission Schaffhausen hatte (wegen den Subventionen des Kantons Schaffhausen und dem grenznahen deut- schen Kundenstamm) von der KSS eine detaillierte Auflisten der Badegäste nach geographischer Herkunft verlangt. Eine solche Auflistung kann nun erstellt werden. Ein weiterer Vorteil besteht aus Sicht der KSS darin, dass es auf den Abonnements-Karten keinen Geldwert mehr hat (die alten Karten konnten mit Geldguthaben aufgeladen werden).
5.2.2 Beurteilung aus Sicht des EDÖB Das neue Erfassungssystem und die damit verbundene Erhebung biometrischer Daten verfolgt nach- vollziehbare Zwecke. Für den EDÖB stellt sich jedoch ernsthaft die Frage, ob es nicht andere Alterna- tiven zur Missbrauchsvermeidung gäbe, welche weniger stark in die Persönlichkeitsrechte der Betrof- fenen eingreifen würden (vgl. dazu auch die grundsätzlichen Bemerkungen zur Verhältnismässigkeit unter Ziff. 5.5)
5.3 Rechtmässigkeit der Datenbeschaffung/Einwilligung der Betroffenen 5.3.1 Ausgangslage Biometrische Daten sind Personendaten im Sinne des Datenschutzgesetzes, für deren Bearbeitung ein Rechtfertigungsgrund (Art. 12 und 13 DSG) benötigt wird. Als Rechtfertigung der Datenbearbei- tung kommt im vorliegenden Fall die Einwilligung der Betroffenen in Frage.
9/34
Gemäss Auskunft der KSS wurden die Abonnementsinhaber persönlich beim Erwerb bzw. beim Um- tausch der bestehenden Dauerkarten über das neue Zugangskontrollsystem informiert. Weiter wurden Info-Flyer bei der Kassentheke aufgelegt. Für Personen, die ihre biometrischen Daten für eine Dauerkarte nicht einlesen lassen wollen, besteht keine Alternative. Sie müssen auf eine Dauerkarte verzichten. Diese Kunden haben die Möglichkeit, herkömmliche Einzeleintritte oder 10-er Abonnemente zu kaufen, was unter Umständen teurer ist. Die KSS hält es – nicht zuletzt aus Gleichheitsgründen – für ausgeschlossen, dass bei einem Teil der Kunden ein Fingerabdruck erfasst wird und bei den anderen nicht. Ein solches Vorgehen wäre aus Sicht der KSS annähernd willkürlich und mache zudem die Betreiberin der Anlagen unglaubwürdig. Gemäss Auskunft der Betriebsleitung KSS wurde aber denjenigen Kunden, die vor Januar 2005 eine Dauerkarte gekauft hatten und sich weigerten, ihre biometrischen Daten preiszugeben, eine Rücker- stattung pro rata temporis angeboten. Die Systemlösung des Lieferanten erlaubt es, auch Karten ohne Templates oder Karten mit mehreren Templates auszustellen. Kann von einem Kunden aus technischen Gründen kein Template eingele- sen werden, bspw. aufgrund mangelhafter oder fehlender biometrischer Merkmale, kann auf die Auf- nahme des Templates verzichtet werden. Der betreffende Kunde erhält dann ein Ticket ohne Finger- abdruck-Verifizierung ausgestellt. Bei schlechtem Einlesen können zur Verbesserung der Verifizierung am Kassendrehkreuz mehrere Templates des gleichen oder weiterer Finger eingelesen werden.
5.3.2 Beurteilung aus Sicht des EDÖB Die Badegäste werden beim Umtausch oder beim Erwerb einer Dauerkarte vom Kassenpersonal über die Erhebung der biometrischen Daten und über die weitere Datenbearbeitung mündlich aufgeklärt. Der Systemlieferant hat zusätzlich einen Info-Flyer ausgearbeitet. Dieser Flyer trägt die Überschrift „Ist der Datenschutz bei der biometrischen Fingerabdruck Erkennung und Identifikation gewährleistet?“ und liegt dem EDÖB vor. Der Flyer erklärt, dass keine Rohdaten gespeichert werden, sondern extra- hierte Merkmale (Minutien) eines Fingerabdrucks in Form eines „codierten“ Templates in der Daten- bank gespeichert werden. Weiter führt der Flyer aus, wie der Abgleich der Templates vor sich geht und dass es nicht möglich ist, aus dem „Code“ das Rohdatum wieder herzustellen. Ferner wird darauf hingewiesen, dass heute gängige Personendatenbanken (z.B. bei Behörden, Kundenbindungspro- grammen oder Kreditkarten) aus Sicht des Datenschutzes eine weit grössere Gefahr darstellen als die Information eines Fingerabdrucks. Zuletzt wird noch darauf hingewiesen, dass die Diskussion um den biometrischen Pass im Zusammenhang mit der Erfassung des Fingerabdrucks bei der KSS irrelevant sei und dass das Datenschutzproblem nicht mit der Einführung biometrischer Merkmale begonnene habe. Mit der Einführung seien nur einige zusätzliche Informationen zur zuverlässigen Verifizierung einer Person dazu gekommen. Der Flyer äussert sich nur grob über die Bearbeitungsmodalitäten der erhobenen Daten. Zudem er- klärt der Flyer primär, warum der Einsatz von Biometrie aus Sicht des Systemlieferanten unproblema- tisch ist. Aus Sicht des EDÖB müssen für die Einwilligung – gerade in so einem sensiblen Bereich wie bei der Bearbeitung von Fingerabdrücken – strengere Anforderungen an die Aufklärung der betroffe- nen Personen gestellt werden. Es ist daher zu fordern, dass sich der Flyer konkreter zu den Bearbei- tungsmodalitäten äussert. Er hat die Hauptpunkte der Datenbearbeitung zu enthalten, wie z.B. wo und für wie lange die Daten gespeichert werden, insbesondere was mit den Templates und Transaktions- daten geschieht, wer Zugriff auf die Daten hat und an wen sie – wenn überhaupt – weiter gegeben werden etc. Anders als es derzeit der Fall ist, muss der Flyer von der KSS – und nicht vom Systemlie- feranten – unterschrieben werden und eine Versionenkontrolle auf dem Blatt festgehalten sein. Des Weiteren ist zu bemängeln, dass an der Sachverhaltsabklärung vor Ort keine Flyer an der Kas- sentheke erhältlich waren. Der Flyer konnte dem EDÖB erst nach einer kleineren Suchaktion über- reicht werden. Es ist zu fordern, dass jeder Badegast vor dem Enrolment automatische und ohne ei- gene Aufforderung einen Flyer vom Kassenpersonal ausgehändigt bekommt. Der Badegast sollte
10/34
genügend Zeit haben, vor dem Enrolment den Flyer zu lesen. Weitere Flyer sollten jederzeit für die Badegäste griffbereit an der Kassentheke aufliegen. Für Personen, die ihre Fingerabdrücke nicht für den Erwerb einer Dauerkarte einlesen lassen wollen, besteht keine Alternative. Solche Gäste haben nur die Möglichkeit, für sie kostenungünstigere 10-er Abonnemente oder Einzeltickets zu kaufen. Eine Dauerkarte können sie nicht erwerben. Für den Ein- satz von Fingerabdrücken in einem Bereich wie dem vorliegenden, an dem keine Sicherheitsaspekte sondern die Missbrauchsverhinderung im Vordergrund stehen, besteht aus Sicht des EDÖB keine Rechtfertigung dafür, dass das informationelle Selbstbestimmungsrecht der Betroffenen in der vorlie- genden Art und Weise eingeschränkt wird. Wer nicht bereit ist, seine Fingerabdrücke für die Dauerkar- te einlesen zu lassen, sollte daher – gleich wie Personen, deren Daten aus individuellen oder techni- schen Gründen nicht eingelesen werden können – die Möglichkeit haben, auf eine andere Form von Dauerkarte ohne Fingerabdruck-Verifizierung zurückgreifen zu können.
5.4 Bearbeitung nach Treu und Glauben/Transparenz 5.4.1 Ausgangslage Die Bearbeitung von Personendaten muss nach Treu und Glauben erfolgen (Art. 4 Abs. 1 DSG). Dies bedeutet zum einen, dass die Datenbearbeitung für die betroffenen Personen transparent erfolgen muss. Zum anderen muss eine Datenbeschaffung und jede weitere Datenbearbeitung grundsätzlich für die Betroffenen erkennbar sein. Die Kunden werden vor dem Kauf einer Dauerkarte mündlich auf die Erhebung der biometrischen Daten aufmerksam gemacht. Das Enrolment erfolgt unter Mitwirkung des Kunden. Dieser muss also aktiv tätig werden, damit seine biometrischen Daten erfasst werden können (Abrollen des Zeigefingers auf dem Sensor an der Kassentheke). Ohne sein Zutun können keine biometrischen Daten erhoben werden. Die Info-Flyer des Systemlieferanten lagen beim Augenschein nicht auf. Somit ist davon auszugehen, dass die Kunden sich erst nach dem Flyer erkundigen müssen bzw. die Informationen auf dem Flyer nicht erhalten. 5.4.2 Beurteilung aus Sicht des EDÖB Da die biometrischen Daten nicht ohne Zutun der Betroffenen erhoben werden, erfolgt die Datenbear- beitung für diese auch klar erkennbar (Abrollen des Fingers auf dem Sensor). Für eine möglichst transparente Datenbearbeitung sollte neben den mündlichen Auskünften des Kassenpersonals den Kunden auch automatisch ein Flyer mitgegeben werden, auf dem umschrieben ist, was mit ihren Per- sonendaten geschieht. Es kann in diesem Punkt auf das unter Ziff. 5.3.2 gesagte verwiesen werden. Hier besteht aus Sicht des EDÖB eine ungenügende Aufklärung der Badegäste.
5.5 Verhältnismässigkeit der Datenbearbeitung Die Bearbeitung von Personendaten hat sich am Grundsatz der Verhältnismässigkeit auszurichten (Art. 4 Abs. 2 DSG). Dies bedeutet, dass ein Datenbearbeiter nur diejenigen Daten bearbeiten darf, die er für einen bestimmten Zweck objektiv tatsächlich benötigt und die im Hinblick auf den Bearbei- tungszweck und die Persönlichkeitsbeeinträchtigung in einem vernünftigen Verhältnis stehen.
5.5.1 Verhältnismässigkeit in inhaltlicher Hinsicht – Ausgangslage Eine Datenbearbeitung ist dann verhältnismässig, wenn sie sich inhaltlich auf das absolut Notwendige beschränkt, um ein bestimmtes Ziel zu erreichen. Die inhaltliche Verhältnismässigkeit fordert einen möglichst schonenden Umgang mit Personendaten. Dies bedingt auch, dass keine für den verfolgten
11/34
Zweck nicht benötigten Überschussinformationen anfallen. Ebenso ist es unzulässig, Personendaten auf Vorrat zu erheben, sofern der damit verfolgte Zweck dies nicht unabdingbar erfordert. Mit der Einführung des neuen Zugangskontrollsystems werden aus den Fingerabdrücken der Kunden Templates generiert und diese zentral in einer Datenbank abgelegt. Rohdaten (d.h. das Originalabbild des Fingerabdruckes) werden keine erhoben. Die Erstellung einer Kopie des eingescannten Finger- abdruckbildes wäre derzeit technisch zwar noch möglich. Der Systemlieferant hat dem EDÖB aber versichert, dass diese Möglichkeit zukünftig von der SW-API entfernt werden könnte. Nebst den Templates werden in der Datenbank auch die Personalien der Kunden sowie die Daten des erstellten Abonnements (Kartendatensatz) zentral gespeichert. Auf der Transponderkarte selbst sind keine Daten erfasst. Die Transponderkarte besitzt eine einmalige Karten-ID. Beim Einlesen der Karte am Drehkreuz wird über die Karten-ID das unter dieser ID abgelegte Template (= Referenzdatum) aus der Datenbank ermittelt. Der Kunde rollt seinen Finger nun über einen Sensor. Das aktuell erstellte Template wird nun mit dem ermittelten Referenzdatum verglichen. Stimmen die beiden Templates überein, öffnet sich das Drehkreuz und der Gast kann das Hallenbad betreten. Jeder korrekt verifizier- te Eintritt wird protokolliert. Stimmen die Templates nicht überein, wird ihm der Zugang verweigert.
5.5.2 Beurteilung der inhaltlichen Verhältnismässigkeit aus Sicht des EDÖB Der Einsatz biometrischer Verfahren im Privatbereich stellt je nach Ausgestaltung im konkreten Einzel- fall einen mehr oder weniger intensiven Eingriff in die Persönlichkeitsrechte der Betroffenen dar. Grundsätzlich sind daher vor dem Einsatz biometrischer Verfahren immer auch andere geeignete Massnahmen zu überprüfen, welche weniger in die Grundrechte der Betroffenen eingreifen und mit denen der angestrebte Zweck ebenfalls erreicht werden kann (vgl. dazu auch die Bemerkungen in Ziff. 5.2.2). Des Weiteren muss schon bei der Auswahl und Ausgestaltung des biometrischen Verfahrens darauf geachtet werden, ein möglichst datensparsames System auszuwählen, das in einem vernünfti- gen Verhältnis zum angestrebten Zweck steht. Wie die Art. 29-Datenschutzgruppe der EU in ihrer Stellungnahme zum Einsatz von Biometrie festhält, sind bei der Beurteilung der Verhältnismässigkeit „auch die Risiken für den Schutz der Grundrechte und –freiheiten des Einzelnen zu berücksichtigen, vor allem die Frage, ob der beabsichtigte Zweck nicht auch auf eine weniger in die Rechte der Betrof- fenen eingreifende Weise zu erreichen ist“. Wie die Art. 29-Datenschutzgruppe des Weiteren festhält, „sind biometrische Systeme, die zur Zugangskontrolle (Authentifikation/Verifikation) eingesetzt wer- den, mit geringeren Gefahren für den Schutz der Grundrechte und –freiheiten des Einzelnen verbun- den, wenn sie entweder auf Körpermerkmalen basieren, die keine Spuren hinterlassen (z.B. in Form der Hand, aber keine Fingerabdrücke), oder wenn sie zwar Körpermerkmale verwenden, die Spuren hinterlassen, die Daten jedoch nicht auf einem Medium speichern, das sich nicht im Besitz der betrof- fenen Person befindet (mit anderen Worten, wenn die Daten nicht im Gerät, das den Zugang kontrol- liert, oder in einer zentralen Datenbank gespeichert werden“ (Art. 29-Datenschtzgruppe, Arbeitspapier über Biometrie, angenommen am 1. August 2003, 12168/02/DE WP 80). Demzufolge erfordert der Grundsatz der inhaltlichen Verhältnismässigkeit, dass bei biometrischen Systemen, die auch ohne zentrale Speicherung funktionsfähig sind, die biometrischen Merkmale möglichst nicht in einer Daten- bank gespeichert werden, sondern nur auf einem Medium, das ausschliesslich dem Benutzer zugäng- lich ist. Im vorliegenden Fall geht es um die Eintrittskontrolle zu einer Freizeitanlage. Die Biometrie wird hier zur Verifizierung der Dauerkartenbesitzer eingesetzt. Datensparsamkeit erreicht man, indem nur die unbedingt zur Verifizierung notwendigen biometrischen Daten erhoben werden. Zur Verifizierung werden keine Rohdaten benötigt. Der Abgleich mit Templates reicht aus, um die berechtigte Person bei Durchschreiten des Drehkreuzes zu authentifizieren. Die Beschränkung der Speicherung biometrischer Daten auf Templates, wie dies von der KSS vollzogen wird, ist unter dem Gesichtspunkt der Datensparsamkeit verhältnismässig. Da die Erstellung einer Kopie des eingescann-
12/34
ten Fingerabdruckes derzeit rein technisch noch möglich wäre, ist zu fordern, dass diese Möglichkeit durch den Systemlieferanten von der SW-API entfernt wird. Biometrische Daten sind dauerhaft personengebunden und sind geeignet, von der betroffenen Person ein Bewegungsprofil zu erstellen. Aus diesem Grund sollten die biometrischen Daten – gerade wenn es um so heikle Bereiche wie Fingerabdrücke geht – im Einflussbereich der betroffenen Person, d.h. des Nutzers, gespeichert werden und dort verbleiben. Insbesondere beim Einsatz von Biometrie zur Eintrittskontrolle in einer Freizeitanlage ist aus Gründen des Persönlichkeits- und Datenschutzes auf eine zentrale Speicherung zu verzichten. Nach Ansicht des EDÖB wird beim Einsatz von Biometrie im Privatbereich der Persönlichkeitsschutz der Betroffenen am ehesten gewahrt, indem
5.5.3 Verhältnismässigkeit in zeitlicher Hinsicht – Ausgangslage Das Erfordernis der Verhältnismässigkeit begrenzt die Datenbearbeitung auch in zeitlicher Hinsicht. Sofern personenbezogene Daten für den verfolgten Zweck nicht mehr gebraucht werden, sind sie zu vernichten resp. zu löschen. Dabei ist eine frühestmögliche Löschung vorzusehen. Die Personalien und die Templates werden derzeit nicht gelöscht. Als Begründung macht die KSS geltend, dass es Kunden gäbe, die erst in einem Folgejahr wieder eine Dauerkarte lösen und man in diesem Fall die Personalien (inkl. Template) nicht neu aufnehmen müsse. Auch würde bei einer Lö- schung der Kartendaten die statistische Auswertung nicht mehr funktionieren. Ebenfalls nicht gelöscht werden die korrekt verifizierten Eintritte (Transaktionen), die mit einer Dauer- karte getätigt werden. Diese Transaktionen werden zu den Kartendaten gespeichert. Die Transaktio- nen (Datum, Uhrzeit und Kontrollautomat des Badeein- resp. Badeaustritts) bleiben derzeit bis auf weiteres gespeichert.
5.5.4 Beurteilung der zeitlichen Verhältnismässigkeit aus Sicht des EDÖB Der EDÖB hat bereits bei der Besichtigung der Anlagen vor Ort darauf aufmerksam gemacht, dass eine dauerhafte Aufbewahrung dieser Daten gegen den Grundsatz der zeitlichen Verhältnismässigkeit verstösst. Problematisch erscheint insbesondere die dauerhafte zentrale Speicherung der Templates sowie der Transaktionsdaten. Die KSS sowie der Systemlieferant wurden daher aufgefordert, Lösch- fristen für diese Daten zu überprüfen und dem EDÖB diese möglichen Fristen baldmöglichst mitzutei- len.
13/34
Mit Schreiben vom 1. Februar 2006 stellt die KSS dem EDÖB folgende Löschregelung in Aussicht: Der Systemlieferant stellt eine technische Lösung für die Vernichtung der vorhandenen Daten, die im Kontext zu einem Badegast stehen, zur Verfügung. Die Kundendaten (Anschrift und Kontaktinformati- onen) werden mit einem CREATE-Datum (Datum der erstmaligen Aufnahme der Angaben) und MO- DIFY-Datum (Aktualisierung jeder Änderung wie Adressänderung, Karte erworben, Karte abgelaufen) gespeichert. Im System wird neu ein Zeitraum definiert, der festlegt, wann das System den Kunden nach der letzten Aktualisierung aus der Datenbank löscht. Die KSS schlägt hier als Löschfrist 18 – 24 Monate vor. Danach könne davon ausgegangen werden, dass der Kunde nicht mehr zu den Dauer- gästen zähle. Analog zu den Kundendaten erhält auch das Template ein CREATE- und MODIFY-Datum. Auch hier wird neu ein Zeitraum definiert, nach dessen Ablauf das Template bei inaktiven Kundenkonten ge- löscht wird. Die KSS schlägt hier als Löschfrist 7 – 14 Monate vor, da bei dieser Zeitspanne der Kunde eine Abonnementsdauer (6 oder 12 Monate) aussetzen könne, ohne dass ein neues Template erfasst werden müsse. Weiter führt die KSS aus, dass bei den Templates ein Mechanismus eingebaut wird, der es ermöglicht, ein altes Template automatisch zu erkenne und es zu ersetzen. Ein altes Template könne somit ein maximales Alter (vorgeschlagen werden 3 Jahre) nicht überschreiten. Die Templates, welche das maximale Alter erreicht haben, werden nicht gelöscht, können aber nicht mehr für das Ausstellen eines neuen Abonnements verwendet werden. Die Transaktionsdaten können ebenfalls nach einem frei definierbaren Zeitraum anonymisiert werden, jedoch nur diejenigen Daten, die nicht mehr zu einem aktuellen Abonnement gehören. Sobald das Abonnement abgelaufen ist, beginnt die vordefinierte Zeit bis zur Anonymisierung zu laufen. Die KSS erachtet es als sinnvoll, die Transaktionsdaten nach 3 – 6 Monaten zu anonymisieren, damit der Gast noch die Möglichkeit besitzt auf eigenen Wunsch zu erfahren, wie häufig bzw. wann er sein Abonne- ment benutzt hat. Zudem benötigt die KSS gemäss eigener Auskunft die Transaktionsdaten zur Er- stellung von Eintritts- und Besucherstatistiken. Der EDÖB erachtet die von der KSS vorgeschlagene Frist für die Löschung der Kundendaten (18 – 24 Monate) als in zeitlicher Hinsicht verhältnismässig. Jedoch sieht der EDÖB keine Erforderlichkeit dafür, dass die Transaktionsdaten von aktiven Abonne- menten bei den Kundendaten gespeichert werden und später noch bis zu 6 Monate nach Ablauf des Abonnements in nicht anonymisierter Form aufbewahrt werden. Die Transaktionsdaten widerspiegeln ein Bewegungsprofil (getätigte Ein- und Austritte) des Badegastes und fallen mit dem neuen biometri- schen Zugangskontrollsystem an. Diese Daten waren früher nicht vorhanden (auch nicht zu statisti- schen Auswertungen oder für persönliche Statistiken der Badegäste). Ihre Erhebung und Speicherung wirft zudem neu die Frage nach den Zugriffsrechten Dritter auf die Daten auf. Es besteht aus Sicht des EDÖB keine Notwendigkeit, diese neu anfallenden Daten, welche das Eintrittsverhalten des Ba- degastes widerspiegeln, in nicht anonymisierter Form bei den Kundendaten zu speichern. Die von der KSS geltend gemachten Zwecke der Erstellung von Eintritts- und Besucherstatistiken kann aus Sicht des EDÖB auch mit anonymisierten Transaktionsdaten erreicht werden. Gestützt auf die fehlende Notwendigkeit der Datenspeicherung und den Grundsatz der zeitlichen Verhältnismässigkeit fordert der EDÖB, dass die Transaktionsdaten nur in anonymisierter Form zu statistischen Zwecken erhoben werden und somit auf eine abonnementsbezogene Speicherung der Transaktionsdaten in der Daten- bank der KSS verzichtet wird. Für die Templates ist aufgrund ihres sensiblen Charakters eine frühere Löschung als 7 – 14 Monate zu fordern. Der EDÖB erachtet eine Aufbewahrungsfrist von max. 3 Monaten für Templates von inak- tiven Kundenkonten als verhältnismässig. Die Verkürzung der ursprünglich vorgeschlagenen Frist auf max. 3 Monate rechtfertigt sich einerseits durch den sensiblen Charakter der biometrischen Daten, welche eine frühestmögliche Löschung verlangt. Anderseits rechtfertigt sich diese Frist auch durch die Tatsache, dass ein erneutes Enrolment nach Ablauf der 3 Monate zu einer niedrigeren False Rejecti- on Rate (FRR) führt. Die Integrität, d.h. die Richtigkeit der Daten (vgl. dazu auch Ziff. 5.7), ist nicht
14/34
zuletzt wegen der zu erwartenden Technologieverbesserung eher gewährleistet, wenn die Templates nicht wie vorgeschlagen 7 – 14 Monate, sondern max. 3 Monate gespeichert werden.
5.6 Zweckbindung der Datenbearbeitung 5.6.1 Ausgangslage Personendaten dürfen nur für den Zweck bearbeitet werden, welcher bei der Beschaffung angegeben worden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Da eine Änderung des Bearbeitungszwecks von den Betroffenen durch die zentrale Speiche- rung der biometrischen Daten nicht kontrollierbar ist, sind technische Lösungen vorzuziehen, welche die Zweckbindung ausreichend gewährleisten.
5.6.2 Beurteilung aus Sicht des EDÖB Die Erhebung der biometrischen Daten und die zentrale Speicherung der Daten erfolgt primär dazu, den Missbrauch von Dauerkarten (Saisonabonnemente und Jahreskarten) zu verhindern. Dank dem Einsatz der Biometrie kann auf das System mit Passbildern (Passbildabgleich) verzichtet werden, da keine manuelle Prüfung der Identität mehr erforderlich ist. Der Badegast identifiziert sich selbst durch das Einlesen des Fingerabdrucks beim Drehkreuz. Durch die zentrale Speicherung der Templates in der Datenbank ist eine Zweckentfremdung in der Bearbeitung dieser Daten nicht gänzlich ausgeschlossen. Dies unter anderem auch deshalb, weil die Daten sich nicht in der Nutzersphäre der Betroffenen befinden. Eine Zweckentfremdung im Sinne einer Verknüpfung mit anderen Datensammlungen oder eine Weitergabe an aussenstehende Dritte wäre möglich. Jedoch muss die Tatsache auch berücksichtig werden, dass keine Rohdaten, sondern Templates in der Datenbank abgelegt werden. Es besteht eine interne Weisung der KSS vom 21.07.2005 an alle Mitarbeiter, die besagt, dass „keine Daten von Gästen der KSS ohne richterlichen Beschluss weitergegeben werden dürfen“ (Interne Wei- sung Nr. 187 „Personendaten Fingerprint“). Insofern ist davon auszugehen, dass die Daten – ausser mit richterlichem Beschluss – nicht an Dritte weitergegeben oder zweckentfremdet werden. Trotz dieser internen Weisung ist aus Sicht des EDÖB unter dem Aspekt der Zweckbindung die de- zentrale Speicherung der biometrischen Daten in der Nutzersphäre der Betroffenen – und nicht wie vorliegend eine zentrale Speicherung der Daten – vorzusehen (vgl. dazu auch die Bemerkungen zur inhaltlichen Verhältnismässigkeit in Ziff. 5.5.2).
5.7 Datenrichtigkeit (Zuverlässigkeit, Anwendbarkeit) 5.7.1 Ausgangslage Das Vergleichsverfahren zwischen Referenz- und aktuell präsentieren Daten (hier Templates der Fin- gerabdrücke) basiert auf Wahrscheinlichkeitsberechnungen und ergibt einen Übereinstimmungswert, der grösser als eine vordefinierte Schwelle sein muss, um die Person zu erkennen. Von dieser einzi- gen Schwelle sind die beiden Werte "False Rejection Rate (FRR)" und "False Acceptance Rate (FAR)" umgekehrt abhängig. Aus Gründen des Persönlichkeitsschutzes sollte vor allem die FAR ver- mindert werden, ohne aber die FRR zu stark zu beeinträchtigen. Die Wahl eines optimalen Schwel- lenwertes für eine ausreichende Zuverlässigkeit des gesamten biometrischen Systems ist aus diesem Grunde nicht einfach zu treffen. Nicht ausser acht gelassen werden darf auch die Tatsache, dass gewisse Anwender (aufgrund feh- lender Gliedmassen, Verletzungen, Narben oder aufgrund des Alters, wie z.B. Kinder oder ältere Per- sonen) keine oder zu wenig gute biometrische Merkmale vorweisen und ihre Authentifizierung miss-
15/34
lingen kann. Für diese Personen ist ein Alternativszenario, welches nicht zu einer Diskriminierung der Betroffenen führen darf, vorzusehen. 5.7.2 Beurteilung aus Sicht des EDÖB Aus Datenschutzgründen sollte die FAR vermindert werden, ohne aber die FRR zu stark zu beein- trächtigen. Zudem sollte ein optimaler Schwellenwert gewählt werden. Jedes biometrische System weist einen gewissen Prozentsatz an FAR auf. Die Authentifizierung kann infolgedessen nicht zu 100% zuverlässig erfolgen. Probleme ergeben sich insbesondere auch bei Personen, denen gewisse biometrische Merkmale fehlen oder nur schlecht lesbar vorhanden sind (Enrolment). Für solche Ausnahmen muss eine äqui- valente Anwendbarkeit des Erkennungssystems geplant und eingesetzt werden. Die KSS führt dazu aus, dass in Abhängigkeit zur Qualität des Templates die Möglichkeit bestünde, die Templates mehre- rer Finger eines Badegastes in der Datenbank abzulegen. Können von einem Badegast keine Templates generiert werden, so könne diesem Badegast auch ein Abonnement ohne Fingerabdruck- Verifizierung ausgestellt werden. Ferner führt die KSS aus, dass das Template nur ein Zusatzmerkmal sei und daher die FAR auf na- hezu null minimiert werden könne. Im Zusammenhang mit der Transponderkarte werde nur eine Veri- fizierung und keine Identifizierung benötigt. Somit werde immer nur ein gespeichertes Template mit dem aktuell präsentierten Fingerabdruck verglichen. Abgesehen davon, dass der EDÖB der Ansicht ist, die zentrale Speicherung sei unverhältnismässig und daher eine dezentrale Speicherung mit der Datenbearbeitung in der Benutzersphäre einzuführen sei (vgl. die Bemerkungen in Ziff. 5.5.2), hat der EDÖB zur Datenrichtigkeit keine weiteren Bemerkun- gen.
5.8 Datensicherheit 5.8.1 Ausgangslage Gemäss Art. 7 DSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten gesichert werden. Zu gewährleisten sind insbesondere die Vertraulichkeit, die Verfügbarkeit sowie die Integrität der Personendaten. Diese Anforderungen sind dann nicht mehr gewährleistet, wenn ein fremdes „Drittgerät“ die Daten abhören oder manipulie- ren könnte. Die Datensicherheit liegt in der Verantwortung derjenigen Stelle, welche die Datenherr- schaft über die Personendaten inne hat (Art. 8 Abs. 1 Verordnung zum Bundesgesetz über den Da- tenschutz vom 14. Juni 1993 (VDSG; SR 235.11). Der Serverraum befindet sich im Keller der KSS im Tresorraum. Zum Tresorraum hat nur ein be- schränkter Personenkreis Zutritt. Von der Arbeitsstation im Serverraum aus können alle statistischen Auswertungen gemacht werden. Die Benutzerberechtigungen werden von der Leiterfirma (d.h. von der KSS) verwaltet. Die Datenbank ist mittels Systembenutzer und Passwort gegen unbefugte Ver- wendung geschützt. Ferner sind die unterirdischen Fenster des Serverraumes mit Gittern gesichert. Die Transponderkarten haben eine Funkweite von einigen Zentimetern. Da auf diesen Karten derzeit keine Daten gespeichert werden, ist es gemäss Ausführungen der KSS nicht relevant, ob ein Fremd- system den Karteninhalt auslesen kann. Denn es können weder Daten gewonnen noch verändert werden. Rapporte können nur durch den Systemlieferanten erstellt werden. Zwischen dem Systemlieferanten und der Betreiberin KSS wurde ein Geheimhaltungsvertrag abgeschlossen. Der Zugang zur Datenbank der KSS kann durch die Betreiberin für Wartungszwecke freigeschaltet werden. Die Feldverschlüsselung von der Oracle-Datenbank wird nicht benutzt. Somit sind die Templates un- verschlüsselt gespeichert. Die Fernwartung des Systemlieferanten erfolgt via Modemanschluss. Es
16/34
existiert keine getrennte PROD-/TEST-Umgebung. Dadurch ist für den Systemlieferanten jede Art von SQL-Abfrage auf produktive Daten möglich.
5.8.2 Beurteilung aus Sicht des EDÖB Die Sensibilität und folglich das angemessenen Schutzniveau von biometrischen Templates kann aus heutiger Sicht nicht abschliessend beurteilt werden. Deshalb sind die Templates in verschlüsselter Form in einer Datenbank oder auf einer Smart Card abzulegen. Wie unter Ziff. 5.5.2 erläutert, sind die Templates der Kunden nicht zentral in der Datenbank sondern in der Nutzersphäre der betroffenen Personen, d.h. dezentral auf einer persönlichen Karte (Smart Card), zu speichern. Entsprechend müssen die Templates auf der Smart Card verschlüsselt werden. Bezüglich der (Fern-)Wartungsmöglichkeit des Systemlieferanten ist zu fordern, dass eine getrennte PROD-/TEST-Umgebung kreiert wird.
5.9 Auskunftsrecht 5.9.1 Ausgangslage Gemäss Art. 8 DSG kann jede Person vom Inhaber der Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Bei der KSS können Kunden jederzeit ihre Angaben an der Kasse einsehen bzw. einen Ausdruck davon verlangen. Die Kunden haben auch die Möglichkeit, ihre Angaben aktualisieren zu lassen. Möchte ein Kunde seine getätigten Eintritte einsehen, ist es möglich, anhand der Adresse Rück- schlüsse auf die erworbenen Karten und somit auf die getätigten Eintritte zu ziehen. Diese Informatio- nen können für jeden einzelnen Kunden ausgedruckt werden. So wird für ihn ersichtlich, ob sich der Kauf der Dauerkarte gelohnt hat. 5.9.2 Beurteilung aus Sicht des EDÖB Das Auskunftsrecht der Badegäste wird gewährleistet. Der EDÖB hat dazu keine Bemerkungen.
17/34
6.1 Biometrische Daten als Personendaten Bei biometrischen Daten der Fingerabdrücke handelt es sich um Personendaten gemäss Art. 3 lit. a DSG. Biometrische Daten in Form von Rohdaten oder Templates machen eine Person identifizierbar resp. bestimmbar. Ihre Erhebung hinterlässt in der Regel – insbesondere bei der Erhebung von Fin- gerabdrücken – (Daten-)Spuren. Die Erhebung von Rohdaten oder Templates ist somit geeignet, ein Bewegungsprofil der betroffenen Person zu erstellen. Gestützt auf diese Tatsache besteht bei der Erhebung biometrischer Daten für die betroffene Person ein hohes Potenzial für Persönlichkeitsverlet- zungen.
6.2 Zweck der Datenbearbeitung Jede Bearbeitung von Personendaten stellt einen Eingriff in das Recht auf informationelle Selbstbe- stimmung gemäss Art. 13 Abs. 2 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV; SR 101) dar. Daher bedarf die Bearbeitung einer besonderen Rechtfertigung. Praktikabilitätserwägungen oder allgemeine Kundenfreundlichkeit stellten grundsätzlich keine ausrei- chende Rechtfertigung für die Bearbeitung biometrischer Daten dar. Gemäss Auskunft der KSS geht es bei der Erfassung der biometrischen Daten ausschliesslich um die automatisierte Missbrauchsbekämpfung von Dauerkarten (Saisonabonnemente und Jahreskarten). Der Vorteil für die KSS läge darin, dass keine manuelle Prüfung der Identität beim Badebesuch (z.B. visuelle Kontrolle eines auf der Karte angebrachten Fotos) vorgenommen werden müsse. Das neue biometrische Zugangskontrollsystem ersetzt das veraltete Kartensystem, bei dem es zu zahlreichen Missbräuchen gekommen war. Gemäss Angaben der KSS hat sich seit Einführung des neuen Sys- tems der Umsatz von Januar 2005 bis November 2005 um gute 8% gesteigert, was mit der fehlenden Missbrauchsmöglichkeit in Zusammenhang steht. Ein weiterer Vorteil besteht für die KSS darin, dass mit dem neuen System nun auch statistische Auswertungen möglich sind, die früher nicht durchge- führt werden konnten. So verlangte z.B. die Geschäftsprüfungskommission Schaffhausen zur Kontrol- le der Subventionsvergaben von der KSS eine detaillierte Auflistung der Badegäste, unterteilt nach geographischer Herkunft. Diese Auflistung kann nun von der KSS erstellt werden. Das neue biometrische Zugangskontrollsystem der KSS verfolgt nachvollziehbare Zwecke. Dennoch möchte der EDÖB seine ernsthaften Bedenken bezüglich der Frage äussern, ob es nicht andere Al- ternativen zur Missbrauchsvermeidung geben würde, welche weniger stark in die Persönlichkeitsrech-
18/34
te der Betroffenen eingreifen würden (vgl. dazu auch das Ergebnis der Verhältnismässigkeitsprü- fung unter Ziff. 6.5.1 sowie die Empfehlung Nr. 1).
6.3 Rechtmässigkeit der Datenbeschaffung/Einwilligung der Betroffenen Die Bearbeitung biometrischer Daten bedarf eines Rechtfertigungsgrundes (Art. 12 und 13 DSG). Als Rechtfertigung kommt im vorliegenden Fall die Einwilligung der Betroffenen in Frage. Grundsätzlich wurde die Einwilligung der Betroffenen persönlich beim Erwerb einer neuen bzw. beim Umtausch ei- ner bestehenden Dauerkarte eingeholt. Zusätzlich hat der Systemlieferant einen Flyer erarbeitet, der Informationen zur Erfassung der biometrischen Daten bei der KSS sowie zum Einsatz von Biometrie im Allgemeinen enthält. Aus Sicht des EDÖB fehlen auf diesem Flyer jedoch wichtige Informationen, wie insbesondere die Bearbeitungsmodalitäten der biometrischen Daten. Verbesserungsvorschlag Nr. 1:
Aus Sicht des EDÖB muss der Informationsgehalt des Flyers hin- sichtlich der Bearbeitungsmodalitäten der biometrischen Daten stark verbessert werden. Aufgeführt werden müssen die Haupt- punkte der Datenbearbeitung, wie z.B. wo und für wie lange die Daten gespeichert werden, insbesondere was mit den Templates und Transaktionsdaten geschieht, wer Zugriff auf die Daten hat und an wen sie – wenn überhaupt – weiter gegeben werden etc.
Des Weiteren ist der EDÖB der Ansicht, dass der Flyer von der KSS – und nicht vom Systemlieferanten – unterschrieben und ei- ne Versionenkontrolle auf dem Blatt festgehalten werden sollte.
Ferner ist der Flyer jedem Kunden vor dem Enrolment automa- tisch vom Kassenpersonal und ohne Nachfragen des Kunden auszuhändigen. Dem Badegast ist genügend Zeit zur Verfügung zu stellen, den Flyer vor dem Enrolment durchzulesen. Weitere Flyer sind griffbereit an der Kassentheke aufzulegen.
Kunden, die ihre biometrischen Daten nicht einlesen lassen wollen, können keine Dauerkarten mehr erwerben. Sie müssen entweder herkömmliche Einzeleintritte oder 10-er Abonnemente kaufen, was unter Umständen teurer ist. Aus Gleichheitsgründen bietet die KSS für solche Kunden keine gleich- wertige Alternative für die neuen, mit biometrischen Daten verknüpften Dauerkarten an. Bei Personen, deren biometrische Daten aus technischen Gründen gar nicht oder nur schlecht eingelesen werden können, erlaubt die Systemlösung auch Dauerkarten ohne Templates oder Karten mit mehreren Templates auszustellen. Für den Einsatz von Fingerabdrücken in einem Bereich wie dem vorliegen- den, an dem keine Sicherheitsaspekte sondern die Missbrauchsverhinderung im Vordergrund stehen, besteht aus Sicht des EDÖB keine Rechtfertigung dafür, dass das informationelle Selbstbestim- mungsrecht der Betroffenen in der vorliegenden Art und Weise eingeschränkt wird. Wer nicht bereit ist, seine Fingerabdrücke für die Dauerkarte einlesen zu lassen, sollte daher – gleich wie bei Perso- nen, deren Daten aus individuellen oder technischen Gründen nicht eingelesen werden können – die Möglichkeit haben, auf eine andere Form von Dauerkarte ohne Fingerabdruck-Verifizierung zurück- greifen zu können.
19/34
Empfehlung Nr. 1:
Der EDÖB erlässt die Empfehlung, dass für Personen, die nicht bereit sind, ihre biometrischen Daten für die Ausstellung einer Dauerkarte einlesen zu lassen, die Möglichkeit besteht, auf eine andere Form von Dauerkarte ohne Fingerabdruck-Verifizierung zurückgreifen zu können. Diesen Personen ist in Zukunft, jedoch spätestens ab 1. Mai 2007 eine kostengleiche Alternative an- zubieten.
6.4 Bearbeitung nach Treu und Glauben/Transparenz Vor dem Kauf einer Dauerkarte werden die Kunden auf die Erhebung der biometrischen Daten auf- merksam gemacht. Das Enrolment erfolgt ausschliesslich unter Mitwirkung des Kunden. Ohne sein Zutun können bei der KSS keine biometrischen Daten erhoben werden. Die Datenbearbeitung erfolgt in diesem Punkt transparent und ist für den Betroffenen erkennbar. Jedoch muss bemängelt werden, dass bei der Sachverhaltsabklärung des EDÖB vor Ort keine Info- Flyer in Kassennähe auflagen und auch sonst nicht zur Hand waren. Es ist davon auszugehen, dass derzeit die Badegäste sich erst nach dem Flyer erkundigen müssen resp. sie die Informationen auf dem Flyer nicht erhalten. Für eine möglichst transparente Datenbearbeitung sollte neben den mündli- chen Auskünften des Kassenpersonals den Badegästen auch automatisch ein Flyer mitgegeben wer- den, auf dem umschrieben ist, was mit ihren Personendaten geschieht. Es kann in diesem Punkt auf den Verbesserungsvorschlag Nr. 1 verweisen werden. Hier besteht aus Sicht des EDÖB eine un- genügende Aufklärung der Kunden.
6.5 Verhältnismässigkeit der Datenbearbeitung 6.5.1 Verhältnismässigkeit in inhaltlicher Hinsicht Der Einsatz biometrischer Verfahren im Privatbereich stellt je nach Ausgestaltung im konkreten Einzel- fall einen mehr oder weniger intensiven Eingriff in die Persönlichkeitsrechte der Betroffenen dar. Grundsätzlich sind daher vor dem Einsatz biometrischer Verfahren immer auch andere geeignete Massnahmen zu überprüfen, welche weniger in die Grundrechte der Betroffenen eingreifen und mit denen der angestrebte Zweck ebenfalls erreicht werden kann. Des Weiteren muss schon bei der Auswahl und Ausgestaltung des biometrischen Verfahrens darauf geachtet werden, ein möglichst datensparsames System auszuwählen, dass in einem vernünftigen Verhältnis zum angestrebten Zweck steht. Im vorliegenden Fall geht es um die Eintrittskontrolle zu einer Freizeitanlage. Die Biometrie wird hier zur Verifizierung der Dauerkartenbesitzer eingesetzt. Datensparsamkeit erreicht man, indem nur die unbedingt zur Verifizierung notwendigen biometrischen Daten erhoben werden. Für den Einsatz des neuen Zugangskontrollsystems werden aus den Fingerabdrücken der Badegäste Templates generiert und diese zentral in einer Datenbank abgelegt. Rohdaten (d.h. das Originalabbild des Fingerabdrucks) werden keine erhoben. Die Beschränkung der Speicherung biometrischer Daten auf Templates, wie dies von der KSS vollzogen wird, ist unter dem Gesichtspunkt der Datensparsam- keit verhältnismässig und zu begrüssen.
20/34
Die Erstellung einer Kopie des eingescannten Fingerabdruckbildes wäre derzeit technisch zwar noch möglich. Der Systemlieferant hat dem EDÖB aber versichert, dass diese Möglichkeit zukünftig von der SW-API entfernt werden könnte. Verbesserungsvorschlag Nr. 2:
Der EDÖB schlägt vor, dass die KSS vom Systemlieferanten ver- langt, dass die Möglichkeit der Erstellung einer Kopie des einges- cannten Fingerabdruckbildes von der SW-API entfernt wird. Da- durch wird sichergestellt, dass kein Abbild des Fingerabdruckes (Rohdatum) vom System kopiert und gespeichert werden kann.
Nebst den Templates werden in der Datenbank auch die Personalien der Kunden sowie die Daten des erstellten Abonnements (Kartendatensatz) zentral gespeichert. Auf der Transponderkarte selbst sind keine Daten erfasst. Die Transponderkarte besitzt eine einmalige Karten-ID. Beim Einlesen der Karte am Drehkreuz wird über die Karten-ID das unter dieser ID abgelegte Template (= Referenzdatum) aus der Datenbank ermittelt. Stimmen das aktuell generierte Template des anwesenden Badegastes mit dem Referenzdatum überein, so öffnet sich das Drehkreuz und der korrekt verifizierte Eintritt wird protokolliert. Biometrische Daten sind dauerhaft personengebunden und sind geeignet, von der betroffenen Person ein Bewegungsprofil zu erstellen. Aus diesem Grund sollten die biometrischen Daten – gerade wenn es um so heikle Bereiche wie Fingerabdrücke geht – im Einflussbereich der betroffenen Person resp. des Nutzers gespeichert werden. Der Grundsatz der inhaltlichen Verhältnismässigkeit erfordert, dass bei biometrischen Systemen, die auch ohne zentrale Speicherung funktionsfähig sind, die biometri- schen Merkmale möglichst nicht in einer Datenbank gespeichert werden sollten, sondern nur auf ei- nem Medium, das ausschliesslich dem Benutzer zugänglich ist. Insbesondere beim Einsatz der Bio- metrie zur Eintrittskontrolle in eine Freizeitanlage muss aus Gründen des Persönlichkeits- und Daten- schutzes auf eine zentrale Speicherung verzichtet werden. Nach Ansicht des EDÖB wird beim Einsatz von Biometrie im Privatbereich der Persönlichkeitsschutz der Betroffenen am ehesten gewahrt, indem
Empfehlung Nr. 2:
Die zentrale Speicherung der biometrischen Daten in der Frei- zeitanlage der KSS Schaffhausen ist unter dem Blickwinkel des Grundsatzes der Datensparsamkeit und des Grundsatzes der möglichst schonenden Bearbeitung von Personendaten unver- hältnismässig. Der EDÖB erlässt daher die Empfehlung, dass in Zukunft, jedoch spätestens ab 1. Mai 2007 auf die zentrale Spei- cherung der biometrischen Daten in Form von Templates der Fin- gerabdrücke verzichtet wird und diese biometrischen Daten –
21/34
auch diejenigen, welche bereits zentral erfasst wurden – auf ei- ner Smart Card, welche in der Benutzersphäre und unter Kon- trolle der betroffenen Person verbleibt, abgelegt werden.
6.5.2 Verhältnismässigkeit in zeitlicher Hinsicht Die Personalien und die Templates werden derzeit von der KSS nicht gelöscht. Ebenfalls nicht ge- löscht werden die korrekt verifizierten Eintritte (Transaktionen), die mit einer Dauerkarte getätigt wer- den. Auf Aufforderung des EDÖB hat die KSS in Absprache mit dem Systemlieferanten Vorschläge für Löschfristen eingereicht. Für die Kundendaten wird eine Löschfrist von 18 – 24 Monate nach letztma- lig erfolgter Aktualisierung der Daten vorgeschlagen. Nach Ablauf dieser Zeit könne davon ausgegan- gen werden, dass ein Badegast nicht mehr zu den Dauerkunden zähle. Dieser Zeitrahmen ist aus Sicht des EDÖB verhältnismässig. Empfehlung Nr. 3:
Der EDÖB erlässt die Empfehlung, dass für die Kundendaten Löschfristen eingeführt werden.
Der in Absprache mit dem Systemlieferanten von der KSS einge- reichte Vorschlag für die Löschung der Kundendaten (Löschung nach 18 – 24 Monaten) ist verhältnismässig.
Die KSS hat diese Löschfrist bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vorzunehmen.
Für die Transaktionsdaten wird vorgeschlagen, dass diejenigen Transaktionsdaten, welche nicht mehr zu einem aktuellen/aktiven Abonnement gehören, nach 3 – 6 Monaten anonymisiert werden. Transak- tionsdaten von aktiven Abonnementen sollen gemäss Vorschlag der KSS weiterhin in nicht anonymi- sierter Form bei den Kundendaten, und damit abonnementsbezogen, gespeichert bleiben. Der EDÖB sieht keine Erforderlichkeit darin, die Transaktionsdaten in nicht anonymisierter Form festzuhalten und erachtet ihre Speicherung bei den Kundendaten als unverhältnismässig. Empfehlung Nr. 4:
Der EDÖB erlässt die Empfehlung, dass die Transaktionsdaten anonymisiert werden.
Die von der KSS in Absprache mit dem Systemlieferanten vorge- schlagene weitere Aufbewahrung der Transaktionsdaten von ak- tiven Abonnementen bei den Kundendaten erscheint dem EDÖB nicht erforderlich und daher unverhältnismässig. Zu statistischen Zwecken können die Transaktionsdaten in anonymisierter Form aufbewahrt werden.
22/34
Die KSS hat die Anonymisierung der Transaktionsdaten bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vor- zunehmen.
Sofern den Kunden der KSS auch in Zukunft die Möglichkeit offe- riert werden soll, ihre Eintritte für persönliche Auswertungen kon- trollieren zu können, so wäre dieses Kundenangebot bei der Umsetzung der Empfehlung Nr. 2 in das neue Systemkonzept einzubauen. Die dafür erforderlichen abonnementsbezogenen Transaktionsdaten dürfen dann aber ausschliesslich auf der Smart Card in der Nutzersphäre des Badegastes festgehalten werden.
Für die Templates wird eine Löschfrist von 7 – 14 Monate vorgeschlagen. Bei dieser Zeitspanne kön- ne ein Kunde eine Abonnementsdauer (6 oder 12 Monate) aussetzen, ohne dass ein neues Template erfasst werden müsse. Bei aktiven Abonnementen wird vorgeschlagen, dass ein einmal erfasstes Template ein maximales Alter von 3 Jahren nicht überschreiten kann. Ein Template, welches vor mehr als 3 Jahren eingelesen wurde, muss durch ein neues Enrolment ersetzt werden. Das alte (abgelau- fene) Template wird nicht gelöscht, sondern kann nicht mehr zur Ausstellung eines neuen Abonne- ments verwendet werden. Empfehlung Nr. 5:
Der EDÖB erlässt die Empfehlung, dass bis zum Zeitpunkt, an dem die Templates dezentral auf Smart Cards abgelegt werden (d.h. bis zur Umsetzung der Empfehlung Nr. 2), Löschfristen für die derzeit noch zentral gespeicherten Templates eingeführt werden.
Die von der KSS in Absprache mit dem Systemlieferanten vorge- schlagene Löschfrist von 7 – 14 Monaten für die zentral gespei- cherten Templates ist zu kürzen. Verhältnismässig erscheint dem EDÖB eine diesbezügliche Frist von max. 3 Monaten.
Die KSS hat diese Löschfrist bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vorzunehmen.
Die Frist von 3 Jahren für die Nicht-Wiedererkennung alter Templates erscheint verhältnismässig.
Die neu einzuführenden Löschfristen sind zur Verbesserung der Transparenz der Datenbearbeitung im Info-Flyer darzulegen (vgl. auch Verbesserungsvorschlag Nr. 1).
23/34
6.6 Zweckbindung der Datenbearbeitung Die KSS verfügt über eine interne Weisung datierend vom 21.07.2005, die allen Mitarbeitern unter- sagt, Daten von Kunden der KSS ohne richterlichen Beschluss weiter zu geben. Trotz dieser internen Weisung kann durch die derzeit praktizierte zentrale Speicherung der Templates eine Zweckentfrem- dung (d.h. eine über die Missbrauchsverhinderung hinausgehende Datenbearbeitung) dieser heiklen Daten nicht gänzlich ausgeschlossen werden. Eine Zweckentfremdung im Sinne einer Verknüpfung mit anderen Datensammlungen oder eine Weitergabe an aussenstehende Dritte wäre möglich. Da eine Änderung des Bearbeitungszwecks der biometrischen Daten von den Betroffenen durch die zent- rale Speicherung der Daten nicht kontrollierbar ist, sind technische Lösungen vorzuziehen, welche die Zweckbindung ausreichend gewährleisten. Unter dem Aspekt der Zweckbindung ist die dezentrale Speicherung der biometrischen Daten auf einer Smart Card in der Nutzersphäre der Betroffenen und nicht wie vorliegend eine zentrale Speicherung der Daten vorzusehen. Es kann an dieser Stelle auf die Empfehlung Nr. 2 verwiesen werden.
6.7 Datenrichtigkeit (Zuverlässigkeit, Anwendbarkeit) Aus Datenschutzgründen sollte die False Acceptance Rate (FAR) vermindert werden, ohne aber die False Rejection Rate (FRR) zu stark zu beeinträchtigen. Gleichzeitig sollte ein optimaler Schwellen- wert gewählt werden. Jedes biometrische System weist einen gewissen Prozentsatz an FAR auf. Die Authentifizierung kann infolgedessen nicht zu 100% zuverlässig erfolgen. Für Personen, denen biometrische Merkmale fehlen oder deren biometrische Merkmale bspw. auf- grund des Alters, Narben oder sonstiger Gründe nicht oder nur schlecht eingelesen werden können, muss eine äquivalente Anwendbarkeit des Erkennungssystems geplant und eingesetzt werden. Die KSS führt dazu aus, dass in Abhängigkeit zur Qualität des Templates die Möglichkeit bestünde, die Templates mehrerer Finger eines Kunden in der Datenbank abzulegen. Könnten von einem Kunden keine Templates generiert werden, so könne diesem auch ein Abonnement ohne Fingerabdruck- Verifizierung ausgestellt werden. Abgesehen davon, dass der EDÖB der Ansicht ist, die zentrale Spei- cherung sei unverhältnismässig und daher eine dezentrale Speicherung auf einer Smart Card in der Nutzersphäre der betroffenen Person einzuführen (vgl. Empfehlung Nr. 2) hat der EDÖB zur Daten- richtigkeit keine Bemerkungen
6.8 Datensicherheit Abgesehen von den Templates, sind die in der Datenbank gespeicherten Daten ausreichend vor un- befugten Zugriffen geschützt (vergitterter, verschlossener Raum, Systemnutzer und Passwort). Die Sensibilität und folglich das angemessenen Schutzniveau von biometrischen Templates kann aus heutiger Sicht nicht abschliessend beurteilt werden. Deshalb sind die Templates in verschlüsselter Form in einer Datenbank oder auf einer Smart Card abzulegen. Verbesserungsvorschlag Nr. 3:
Der EDÖB regt an, dass ÇáÉ=qÉãéäíÉë=áå=îÉêëÅÜäëëÉäíÉê=cçêã= ÄÖÉäÉÖí=ïÉêÇÉåK=
24/34
Die sich derzeit im Einsatz befindlichen Transponderkarten haben eine Funkreichweite von einigen Zentimetern. Da keine Daten auf der Transponderkarte gespeichert sind, ist diese Funkreichweite heute ohne Bedeutung. Die (Fern-)Wartung erfolgt durch den Systemlieferanten. Der Zugang zur Datenbank kann durch die KSS freigeschaltet werden, jedoch besteht ein Geheimhaltungsvertrag zwischen dem Systemlieferan- ten und der KSS. Die Fernwartung des Systemlieferanten erfolgt via Modemanschluss. Es existiert keine getrennte PROD-/TEST-Umgebung. Dadurch ist für den Systemlieferanten jede Art von SQL- Abfrage auf produktive Daten möglich.
Verbesserungsvorschlag Nr. 4:
Der EDÖB regt an, dass bezüglich der (Fern- )Wartungsmöglichkeit eine getrennte PROD-/TEST-Umgebung kreiert wird, damit das Wartungspersonal nur auf die Testdaten zugreifen kann.
6.9 Auskunftsrecht Ein Badegast hat jederzeit die Möglichkeit, seine persönlichen Angaben aktualisieren zu lassen. Zu- dem kann auf Wunsch ein Ausdruck aller getätigten Eintritte in das Hallenbad erstellt werden. Das Auskunftsrecht der Kunden wird gewährleistet. Der EDÖB hat dazu keine Bemerkungen.
25/34
7.2 Verfahren und weiteres Vorgehen Im Januar 2005 hat die KSS zum Zweck der Missbrauchseindämmung bei der Benutzung persönli- cher, nicht übertragbarer Dauerkarten ein neues Zugangskontrollsystem mit biometrischen Daten (Templates des Fingerabdrucks) eingesetzt. Im Sommer 2005 wurde nach einer halbjährigen Pilot- phase das neue System definitiv eingeführt und wird voraussichtlich für weitere Sport- und Freizeitan- gebote der KSS zur Anwendung gelangen. Die Einführung des neuen Zugangskontrollsystems mit der Aufforderung, zum Erwerb oder Erneuerung einer Dauerkarte den Fingerabdruck in einen Scanner einlesen und in Form eines Templates zentral in einer Datenbank speichern zu lassen, wurde nicht von allen Badegästen akzeptiert. In Anbetracht der Sensibilität der bearbeiteten Personendaten und der Reaktionen aus der Bevölke- rung erwies sich die Überprüfung des neuen Systems der KSS auf die Einhaltung der Datenschutzbe- stimmungen als sehr bedeutungsvoll. Die vom EDÖB gemachten Feststellungen, erlassenen Empfeh- lungen und Verbesserungsvorschläge sind richtungweisend für weitere Privatanwender biometrischer Systeme im Bereich von Freizeit- oder ähnlichen Anlagen. Aus besagten Gründen besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für diese Art der Datenerhebung zu sensibilisieren und sie insbesondere über die erfolgte Datenschutzkontrolle bei der KSS und die diesbezüglichen Ergebnisse zu informieren. Gestützt auf Art. 30 Abs. 2 DSG wird der EDÖB daher den vorliegenden Kontrollbericht betreffend die Erhebung biometrischer Daten beim Erwerb einer Dauerkarte in den Sport- und Freizeitanlagen KSS Schaffhausen in einer angepassten Version der Öffentlichkeit zugänglich machen und ihn auf seiner Website ( www.edoeb.admin.ch) publizieren. Selbstverständlich erfolgt die Publikation unter dem Vorbehalt, dass aus Sicht der KSS (nach erfolgter Absprache mit dem Systemlieferanten) keine vertraulichen Daten, welche Geschäfts- geheimnisse offenbaren oder die Konkurrenzfähigkeit beeinflussen könnten, bekannt gegeben wer- den. Die KSS wird daher aufgefordert, den Kontrollbericht auf solche vertraulichen Inhalte hin zu ü- berprüfen und dem EDÖB mit Frist von 30 Tagen entsprechend schriftliche Rückmeldung zu erstat- ten.
26/34
Der vorliegende Kontrollbericht enthält eine Reihe von Feststellungen sowie Verbesserungsvor- schläge, welche vom EDÖB auf Basis der durchgeführten Kontrolle verfasst wurden. Die KSS wird gebeten, vorliegenden Kontrollbericht sowie die darin enthaltenen Feststellungen und Vorschläge zur Kenntnis zu nehmen und dem EDÖB mit Frist von 30 Tagen darüber zu informieren, ob von Seiten der KSS irgendwelche Bemerkungen dazu vorliegen und ob, und wenn ja, mit welchen Massnahmen und innerhalb welcher Frist die Vorschläge des EDÖB umgesetzt werden. Darüber hinaus enthält der vorliegende Kontrollbericht Empfehlungen im Sinne des Art. 29 Abs. 3 DSG, welche sich an die KSS Sport- und Freizeitanlagen, Breitenaustrasse 117, Postfach 27, 8204 Schaffhausen, richten. Die KSS teilt dem EDÖB mit Frist von 30 Tagen mit, ob sie diese Empfehlun- gen akzeptiert oder nicht. Falls die Empfehlungen abgelehnt oder nicht befolgt werden, kann der E- DÖB die Angelegenheit der Eidgenössischen Datenschutzkommission zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).
Bern, den 11. April 2006
EIDGENÖSSISCHER DATENSCHUTZ- UND ÖFFENT- LICHKEITSBEAUFTRAGTER Der Beauftragte:
Hanspeter Thür
27/34
Anhang vom 6. November 2006 zum Schlussbericht
Nach eingehender Prüfung der Stellungnahmen hat der EDÖB die Antworten und Vorschläge der KSS ausgewertet. Die Reaktionen des EDÖB auf die Auswertungen sind ebenfalls in vorliegendem Anhang wiedergegeben. Der Anhang bildet integralen Bestandteil des Schlussberichtes.
Der EDÖB hat am 6. November 2006 die Datenschutzkontrolle gemäss Art. 29 DSG betreffend der Erhebung biometrischer Daten beim Erwerb einer Dauerkarte in den Sport- und Freizeitanlagen KSS Schaffhausen für abgeschlossen erklärt.
Verbesserungsvorschlag Nr. 1:
Aus Sicht des EDÖB muss der Informationsgehalt des Flyers hin- sichtlich der Bearbeitungsmodalitäten der biometrischen Daten stark verbessert werden. Aufgeführt werden müssen die Haupt- punkte der Datenbearbeitung, wie z.B. wo und für wie lange die Daten gespeichert werden, insbesondere was mit den Templates und Transaktionsdaten geschieht, wer Zugriff auf die Daten hat und an wen sie – wenn überhaupt – weiter gegeben werden etc.
Des Weiteren ist der EDÖB der Ansicht, dass der Flyer von der KSS – und nicht vom Systemlieferanten – unterschrieben und ei- ne Versionenkontrolle auf dem Blatt festgehalten werden sollte.
Ferner ist der Flyer jedem Kunden vor dem Enrolment automa- tisch vom Kassenpersonal und ohne Nachfragen des Kunden auszuhändigen. Dem Badegast ist genügend Zeit zur Verfügung zu stellen, den Flyer vor dem Enrolment durchzulesen. Weitere Flyer sind griffbereit an der Kassentheke aufzulegen.
Stellungnahme KSS: Der Systemlieferant und der Betreiber werden den vorhandenen Flyer vollständig überar- beiten, wobei die vom EDÖB erwähnten Punkte berücksichtigt werden. Die KSS bietet an, den Flyer zur Durchsicht (und allenfalls zur Ergänzung) dem EDÖB zukommen zu lassen.
28/34
Weiter wird ein Ablauf und Organisationsdiagramm für das Kassenpersonal erstellt, aus dem hervorgeht, wie bei der Herausgabe eines Abonnements (mit biometrischen Daten) vorzugehen ist.
Reaktion EDÖB Der Vorschlag wird umgesetzt. Der EDÖB erhält eine Version des neuen Flyers. Es sind keine weiteren Schritte nötig.
Empfehlung Nr. 1:
Der EDÖB erlässt die Empfehlung, dass für Personen, die nicht bereit sind, ihre biometrischen Daten für die Ausstellung einer Dauerkarte einlesen zu lassen, die Möglichkeit besteht, auf eine andere Form von Dauerkarte ohne Fingerabdruck-Verifizierung zurückgreifen zu können. Diesen Personen ist in Zukunft, jedoch spätestens ab 1. Mai 2007 eine kostengleiche Alternative an- zubieten.
Stellungnahme KSS: Es wird mit der heute eingesetzten Technik immer wieder Personen geben, bei denen kei- ne biometrischen Daten, in der notwendigen Güte, erfasst werden können. Weiter gibt es Besucher, die den Vorteil der automatisierten Identitätsprüfung auf Basis einer biometrisch unterstützten Zutrittslösung nicht nutzen wollen. Damit diesen Personengruppen die glei- chen Tarifmöglichkeiten offen stehen, werden Änderungen in den Abläufen bzw. Nut- zungsbestimmungen notwendig. Die KSS schlägt folgende Massnahmen vor: Jeder Badegast wird beim Erwerb einer Dauer- bzw. Saisonkarte über die Erfassung der biometrischen Daten informiert. Möchte der Badegast auf den Vorteil der automatischen biometrischen Identifizierung durch das Eintrittssystem verzichten, besteht neu die Mög- lichkeit sich eine Karte ohne biometrische Merkmale auszustellen. Diese Karten erhalten aber keinen automatischen Zutritt zum Areal, sondern die Benutzer müssen sich an der bedienten Kasse im Hallenbad oder Freibad als rechtmässige Besitzer der Karte auswei- sen. Dies wird vom Kassenpersonal anhand der Inhaberdaten (Sichtkontrolle), die zu der Karte gespeichert werden, verifiziert. Im Zweifelsfall wird die Identität mittels Personalaus- weis überprüft. Diese kostengleiche Alternative wird ab 15. September 2006 eingeführt. Somit können alle Kunden, die ihre Dauerkarte verlängern, persönlich über die Neuerung informiert werden. Die alternative Lösung ist insofern eingeschränkt, als der Zugang nur über die bediente Kasse erfolgen kann.
Reaktion EDÖB Die Empfehlung wird umgesetzt. Es sind keine weiteren Schritte nötig.
29/34
2.2 Verhältnismässigkeit in inhaltlicher Hinsicht
Verbesserungsvorschlag Nr. 2:
Der EDÖB schlägt vor, dass die KSS vom Systemlieferanten ver- langt, dass die Möglichkeit der Erstellung einer Kopie des einges- cannten Fingerabdruckbildes von der SW-API entfernt wird. Da- durch wird sichergestellt, dass kein Abbild des Fingerabdruckes (Rohdatum) vom System kopiert und gespeichert werden kann.
Stellungnahme KSS: Dieser Vorschlag ist gemäss Angaben der KSS bereits erledigt, soweit es den Bediener betrifft und wird bei einem der nächsten Updates eingespielt.
Reaktion EDÖB Der Vorschlag ist umgesetzt. Es sind keine weiteren Schritte nötig.
Empfehlung Nr. 2:
Die zentrale Speicherung der biometrischen Daten in der Frei- zeitanlage der KSS Schaffhausen ist unter dem Blickwinkel des Grundsatzes der Datensparsamkeit und des Grundsatzes der möglichst schonenden Bearbeitung von Personendaten unver- hältnismässig. Der EDÖB erlässt daher die Empfehlung, dass in Zukunft, jedoch spätestens ab 1. Mai 2007 auf die zentrale Spei- cherung der biometrischen Daten in Form von Templates der Fin- gerabdrücke verzichtet wird und diese biometrischen Daten – auch diejenigen, welche bereits zentral erfasst wurden – auf ei- ner Smart Card, welche in der Benutzersphäre und unter Kon- trolle der betroffenen Person verbleibt, abgelegt werden.
Stellungnahme KSS: Zurzeit werden bei der KSS die biometrischen Daten zentral in einer Datenbank gespei- chert. Die Templates sollen nun mit dem Kunden mitgeführt werden. Dazu ist es notwen- dig, die Daten auf die Karte zu speichern. Dies ist aber nur möglich, wenn
30/34
Die KSS schlägt folgende Massnahmen vor: Die Dauerkarten werden durch beschreibbare Medien ersetzt. Die Software wird so ange- passt, dass die Daten auf der Karte gespeichert werden können. Nachdem alle Karten umgestellt oder abgelaufen sind können alle restlichen Templates aus der Datenbank ge- löscht werden. In der Übergangszeit werden die Templates redundant geführt. Um die Daten auf der Karte zu speichern, muss die Software in wesentlichen Bereichen umprogrammiert werden. Programmieren, Testen und die Inbetriebnahme kann bis zum
Reaktion EDÖB Die Empfehlung wird umgesetzt. Es sind keine weiteren Schritte nötig.
2.3 Verhältnismässigkeit in zeitlicher Hinsicht
Empfehlung Nr. 3:
Der EDÖB erlässt die Empfehlung, dass für die Kundendaten Löschfristen eingeführt werden.
Der in Absprache mit dem Systemlieferanten von der KSS einge- reichte Vorschlag für die Löschung der Kundendaten (Löschung nach 18 – 24 Monaten) ist verhältnismässig.
Die KSS hat diese Löschfrist bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vorzunehmen.
Stellungnahme KSS: Die Software, um Kundendaten automatisiert zu löschen, wird bis zum 30. September 2006 fertig gestellt und in Betrieb genommen. Die Kundendaten werden ab dem letzten ak- tiven Kundenkontakt nach den vorgeschlagenen 18 Monaten gelöscht.
Reaktion EDÖB Die Empfehlung wird umgesetzt. Es sind keine weiteren Schritte nötig.
31/34
Empfehlung Nr. 4:
Der EDÖB erlässt die Empfehlung, dass die Transaktionsdaten anonymisiert werden.
Die von der KSS in Absprache mit dem Systemlieferanten vorge- schlagene weitere Aufbewahrung der Transaktionsdaten von ak- tiven Abonnementen bei den Kundendaten erscheint dem EDÖB nicht erforderlich und daher unverhältnismässig. Zu statistischen Zwecken können die Transaktionsdaten in anonymisierter Form aufbewahrt werden.
Die KSS hat die Anonymisierung der Transaktionsdaten bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vor- zunehmen.
Sofern den Kunden der KSS auch in Zukunft die Möglichkeit offe- riert werden soll, ihre Eintritte für persönliche Auswertungen kon- trollieren zu können, so wäre dieses Kundenangebot bei der Umsetzung der Empfehlung Nr. 2 in das neue Systemkonzept einzubauen. Die dafür erforderlichen abonnementsbezogenen Transaktionsdaten dürfen dann aber ausschliesslich auf der Smart Card in der Nutzersphäre des Badegastes festgehalten werden.
Stellungnahme KSS: Es wurden Lösungen für die Anonymisierung evaluiert, jedoch bisher noch nicht umge- setzt. Die KSS weist darauf hin, dass es notwendig sei, anhand der Karten die vorgängi- gen Eintritte zu ermitteln, damit die Zutrittskontrolle korrekt arbeite. Es gäbe folgende drei Fälle zu unterscheiden, bei denen die vorgängigen Eintritte ermittelt werden müssen:
Die KSS schlägt folgende Lösungen vor: Es stehen aus Sicht der KSS vorwiegend zwei Lösungen zur Diskussion. Die erste Lösung sieht die Anonymisierung nach 1 Tag vor. Wenn während eines Tages die Statistikdaten von einzelnen Karten verfügbar seien, funktioniere die Wiederholsperre, wobei in der Nacht ein Programm ablaufe, welches die Statistikeinträge des vorhergegan- genen Tages anonymisiere. Vorteil dieser Lösung wäre, dass keine nicht anonymisierten Daten im System existierten, nachteilig wäre, dass alinea zwei und drei der vorstehend ge- nannten Fälle nicht mehr möglich wären.
32/34
Die zweite Lösung sieht die Anonymisierung jeweils bei jedem neuen Eintritt vor. Die Ano- nymisierung würde dann automatisch nach der letzten Verwendung der Daten erfolgen.
Reaktion EDÖB Der EDÖB hält fest, dass die KSS die Empfehlung Nr. 4 grundsätzlich akzeptiert. Der E- DÖB fordert die KSS daher auf, sich für eine Lösung zu entscheiden, in welcher die Emp- fehlung Nr. 4 auch tatsächlich umgesetzt wird. Welche Lösung gewählt wird und in wel- chem Umfang die Umsetzung der Empfehlung Nr. 2 (Smart Card) dabei helfen kann, ist der KSS überlassen. Wichtig ist, dass die Transaktionsdaten schnellstmöglich anonymisiert werden. Weshalb die Transaktionsdaten für die Zutrittskontrolle unvermeidlich benutzt werden müssen, bleibt dem EDÖB unklar. Alle drei oben genannten Fälle (Wiederholsperre; be- schränkte Eintritte während einer Zeitperiode; mit der Karte getätigte Eintritte) könnten aus Sicht des EDÖB durch geringe zusätzliche Daten auf der Karte selbst (Zähler und Zeit- stempel) sichergestellt werden. Der EDÖB erwartet von der KSS eine Umsetzung der Empfehlung Nr. 4 bis spätestens Beginn der nächsten Sommersaison, d.h. bis spätestens 15. Mai 2007.
Empfehlung Nr. 5:
Der EDÖB erlässt die Empfehlung, dass bis zum Zeitpunkt, an dem die Templates dezentral auf Smart Cards abgelegt werden (d.h. bis zur Umsetzung der Empfehlung Nr. 2), Löschfristen für die derzeit noch zentral gespeicherten Templates eingeführt werden.
Die von der KSS in Absprache mit dem Systemlieferanten vorge- schlagene Löschfrist von 7 – 14 Monaten für die zentral gespei- cherten Templates ist zu kürzen. Verhältnismässig erscheint dem EDÖB eine diesbezügliche Frist von max. 3 Monaten.
Die KSS hat diese Löschfrist bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vorzunehmen.
Die Frist von 3 Jahren für die Nicht-Wiedererkennung alter Templates erscheint verhältnismässig.
Stellungnahme KSS: Die aktuell nicht verwendeten Templates wurden nach der Sommersaison, d.h. nach dem 15. September 2006 gelöscht.
Reaktion EDÖB Die Empfehlung wird umgesetzt. Es sind keine weiteren Schritte nötig.
33/34
2.4 Datensicherheit
Verbesserungsvorschlag Nr. 3:
Der EDÖB regt an, dass die Templates in verschlüsselter Form abgelegt werden.
Stellungnahme KSS: Bis spätestens Mai 2007 wird in der Applikation eine Verschlüsselungsschicht implemen- tiert, welche die bestehenden Verschlüsselungs-Algorithmen verwendet. Folgende Daten werden in einem ersten Schritt verschlüsselt abgespeichert: Benutzerpasswörter, Fin- gerprint-Templates.
Reaktion EDÖB Der Vorschlag wird umgesetzt. Es sind keine weiteren Schritte nötig.
Verbesserungsvorschlag Nr. 4:
Der EDÖB regt an, dass bezüglich der (Fern-)Wartungs- möglichkeit eine getrennte PROD-/TEST-Umgebung kreiert wird, damit das Wartungspersonal nur auf die Testdaten zugreifen kann.
Stellungnahme KSS: Die Möglichkeit ein produktives System und ein Testsystem zu unterhalten existiert ge- mäss Angaben der KSS bereits. Indessen sei bei einer Anpassung oder Erweiterung der Betriebskonfiguration immer auch ein Zugriff auf das produktive System notwendig. Es könnten höchstens produktive Daten (Betriebsdaten) von Konfigurationsdaten (Stammda- ten) unterschieden werden. In diesem Punkt scheint der KSS eine adäquate Lösung (Trennung der Daten) kaum reali- sierbar. Oft müssten auch produktive Daten korrigiert werden, die fehlerhaft oder unvoll- ständig in die Datenbank eingetragen wurden (z.B. Bedienfehler, Softwarefehler, Strom- ausfall etc.). Schliesslich wurde gemäss Angaben der KSS ein Auswertungsserver auf Webbasis instal- liert, welcher ebenfalls von der Firma Ticos betreut und gewartet wird, weshalb auch ohne Datenbankzugriff die Möglichkeit bestände, im Rahmen von bestehenden Rapports Daten auszuwerten.
34/34
Reaktion EDÖB Der EDÖB kann die Argumente der KSS gegen eine vollständige Trennung der PROD- /TEST-Umgebung bei Wartungsarbeiten nachvollziehen. Der EDÖB regt als Gegenvor- schlag an, dass zur Erhöhung der Sicherheit für Zugriffe auf die produktiven Daten bei Wartungsarbeiten zwingend eine vollständige Protokollierung des Zugriffs im Sinne des Art. 10 der Verordnung zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11) ein- geführt wird.
Bern, den 6. November 2006
EIDGENÖSSISCHER DATENSCHUTZ- UND ÖFFENT- LICHKEITSBEAUFTRAGTER Der Beauftragte:
Hanspeter Thür