1 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter 16. Tätigkeitsbericht 2008/2009
Tätigkeitsbericht 2008/2009 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte hat dem Bundesrat periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen
4 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Dieser Bericht ist auch über das Internet (www.edoeb.admin.ch) abrufbar. Vertrieb: BBL, Verkauf Bundespublikationen, CH-3003 Bern www.bbl.admin.ch/bundespublikationen Art.-Nr. 410.016.d/f
3 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
4 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
5 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
6 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
7 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Vorwort Ein erfolgreicher Datenschutz braucht Ausdauer und Pragmatismus Facebook und andere Soziale Netzwerkseiten im Internet erfreuen sich zunehmender Beliebtheit und haben inzwischen weltweit mehrere hundert Millionen von Nutze- rinnen und Nutzern. Vor allem die junge Generation findet es ausserordentlich cool, auf diesem Weg «Freunde» zu gewinnen, sich über gemeinsame Interessen auszutau- schen und dabei auch sehr Persönliches preis zu geben. Interessant ist, dass zuneh- mend auch ältere Semester sich dieser Instrumente bedienen: Politiker realisieren, dass man auf diesem Weg gleichsam mit Schneeballeffekt fast gratis sehr viele Wäh- lerinnen und Wähler erreichen kann. So dürfte der US-Präsident Barack Obama seine Wahl massgeblich der Einbindung der Sozialen Netzwerke in seine Kampagne zu ver- danken haben. Auch in der Schweiz bedienen sich Politiker vermehrt dieses Instru- ments. So ist das Referendum gegen die biometrischen Pässe das erste erfolgreich eingereichte internetbasierte Referendum. Inzwischen ist klar, dass sehr viele Akteure – v om Arbeitgeber bis zu den Geheimdiensten – diese immer üppiger sprudelnde Informationsquelle für ihre Zwecke nutzen. Im vergangenen Jahr waren wir intensiv mit den zahlreichen Aspekten dieses neuen Ph änomens konfrontiert. Was bedeuten sie für den Datenschutz? Ob es uns passt oder nicht, die Verbreitung dieser Netzwerke ist nicht mehr aufzuhalten. Somit geht es für uns in erster Linie darum, die Entwicklung genau zu beobachten, um offensicht- liche Fehlentwicklungen rechtzeitig erkennen und handeln zu können. Gleichzeitig haben wir uns darauf konzentriert, über unsere Website Verhaltensanweisungen zu propagieren, die einen gefahrlosen Umgang mit diesen neuen Möglichkeiten fördern. Für eine erfolgreiche Aufklärungsarbeit brauchen wir Augenmass und die Unterstüt- zung anderer gesellschaftlicher Akteure. Ich denke da vor allem an die Schulen. A usdauer und Pragmatismus braucht es auch im heikelsten Bereich staatlicher In- formationsbeschaffung und -bearbeitung: dem Staatsschutz. Seit Jahren fordern wir, dass das bestehende indirekte Auskunftsrecht in ein direktes überführt werden sollte und der Rechtsschutz der Bürgerinnen und Bürger verbessert werden müsse. Ziemlich genau 20 Jahre nach der Fichenaffäre kommt Bewegung in diese Sache. Ausgangs- punkt waren die bekannt gewordenen Fichierungen von Basler Grossräten und Gros- srätinnen kurdischer Herkunft. Im Gefolge der dadurch entstandenen Verunsicherung erreichte uns eine zehnfach höhere Zahl von Einsichtsgesuchen, und wir informierten in diesen Fällen die Gesuchsteller in Anwendung des Art. 18 Abs. 3 BWIS ausnahms-
8 16. Tätigkeitsbericht 2008/ 2009 des EDÖB weise, ob sie eingetragen waren oder nicht. Massgebend war für uns der Umstand, dass die Betroffenen befürchten mussten, dass sie wegen ihrer politischen Tätigkeit fichiert waren, was mit Art. 3 BWIS nicht vereinbar wäre. Bereits Anfangs Berichtsjahr machten wir in vier Fällen von dieser Ausnahmebestimmung Gebrauch. Dabei mussten wir uns zunehmend auch mit der Frage auseinander setzen, ob die vom DAP verfolgte Praxis mit den in Art. 3 BWIS statuierten Schranken vereinbar sei: Danach dürfen Infor- mationen über politische Be tätigungen und die Ausübung der Meinungs-, Koalitions- und Versammlungsfreiheit nicht bearbeitet werden. Diese Fälle zeigten einmal mehr die Mängel des derzeitigen indirekten Auskunftsrechts, das eine effektive Überprüfung der Einträge nicht zulässt. Im Licht e dieser Fälle reichte Nationalrätin Susanne Leutenegger Oberholzer einen Vorstoss ein, der verlangt, dass auch im Bereich des Staatschutzes grundsätzlich ein direktes Einsichtsrecht gelten soll, wenn dem keine Staatschutzinteressen entgegen- steh en. Der Bundesrat akzeptierte inzwischen ihren Vorschlag. Die derzeit hängige BWIS-Revision greift noch ein weiteres unserer langjährigen Ceterum censeo auf: Nachdem der Nationalrat zunächst wegen der fragwürdigen Verschärfung des Ge- setzes auf diese Revision gar nicht erst eintreten wollte, ist nach dem Rückweisungs- entscheid des Ständerates klar, dass der Bundesrat vor allem auch den Rechtschutz verbessern muss. Der Bundesrat akzeptierte in der ersten Hälfte des letzten Jahres die Empfehlungen d er Schengen-Evaluation und fasste entsprechende Beschlüsse zur Verbesserung der Unabhängigkeit des EDÖB und der Aufstockung der Ressourcen. Damit stand der Umsetzung des Abkommens nichts mehr im Wege. Inzwischen haben wir die uns obliegenden Kontroll- und Aufsichtsaufgaben aufgenommen. Letztes Jahr stand die Botschaft in Kiew auf dem Programm. Zusammen mit den Datenschutzbehörden der Schengen-Staaten wurde eine weitere Kontrolle durchgeführt. Dieses Jahr ist die Reihe am Fedpol und an weiteren Botschaften. Die notwendige Zusammenarbeit mit den Kantonen ist angelaufen und wird auf der Basis eines vom EDÖB initiierten Reglements an die Hand genommen. Bei den eHealth-Projekten hat der Bundesrat das Realisierungstempo erhöht. Es ist nur noch eine Frage der Zeit, bis das elektronische Patientendossier Realität sein wird. Auf diesem Weg sind jedoch noch zahlreiche Probleme zu lösen, nicht zuletzt im Be- reiche des Datenschutzes. Wir begleiten diese Projekte eng, da auf die Bürgerinnen und Bürger grosse Gefahren zukämen, wenn die Anliegen des Datenschutzes nicht gebührend berücksichtigt werden. Für uns ist klar, dass die Einführung des elektro- nischen Patientendossiers für die Betroffenen eine Verbesserung des Schutzes ihrer Krankenakte im Vergleich zum heutigen Papierdossier mit sich bringen muss.
9 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Das Öffentlichkeitsgesetz steht nun im dritten Jahr. Die vom Gesetz nach drei Jahren vorzunehmende Evaluation, mit der wir das Institut de hautes études en administrati- on publique IDHEAP beauftragt haben, liegt vor. Die Feststellungen sind für uns mehr- heitlich nicht überraschend: Die Ressourcen für die Durchführung der Mediationen und die Erarbeitung der gesetzlich vorgesehenen Empfehlungen genügen nach wie vor nicht. Deshalb können die im Gesetz vorgegebenen Fristen nicht eingehalten und auch die übrigen uns übertragenen Aufgaben nicht korrekt erfüllt werden. Das hat unter anderem zur Folge, dass die Bekanntheit des Gesetzes ausserordentlich gering ist, was gemäss der Studie dazu führt, dass in der Schweiz im Vergleich zu anderen Staaten in Prozent der Bevölkerung mit Abstand am wenigsten Gesuche um Zugang zu amtlichen Dokumenten gestellt werden. In konzeptioneller Hinsicht wurde ein be- deutsamer Mangel ausgemacht: In Fällen, in denen die Verwaltung unseren Empfeh- lungen nicht folgt und der Gesuchsteller aus finanziellen Gründen den Fall nicht an das Bundesverwaltungsgericht weiterzieht, besteht vor allem in politisch heiklen Fällen kei ne Möglichkeit einer richterlichen Klärung. Die Studie empfiehlt deshalb, unsere Rechte zu stärken, indem uns wie im DSG das Recht gegeben wird, in wichtigen Fällen selbständig an das höchste Gericht zu gelangen. Wir sind gespannt, wie die Politik auf diese Empfehlungen reagieren wird. Diese Reaktion wird uns für unsere eigene Ge- wichtung der Aufgabe einen Anhaltspunkt geben, welche Priorität die Politik dem Öf- fentlichkeitsgesetz beimisst. Auch hier werden wir dran bleiben und uns mit Ausdauer und Pragmatismus für eine effiziente Umsetzung des Gesetzes bemühen. Hanspeter Thür
10 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Abkürzungsverzeichnis AFAPDP Association francophone des Autorités de protection des données personnelles AFIS Automatisiertes Fingerabdruck-Identifikationssystem BAFU Bundesamt für Umwelt BAG Bundesamt für Gesundheit BAKOM Bundesamt für Kommunikation BFS Bundesamt für Statistik BGÖ Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung BIT Bundesamt für Informatik und Telekommunikation BJ Bundesamt für Justiz BPG Bundespersonalgesetz BPI Bundesgesetz über die polizeilichen Informationssysteme des Bundes BStatG Bundesstatistikgesetz BSV Bundesamt für Sozialversicherungen BVG Bundesgesetz über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge BVGer Bundesverwaltungsgericht BVV 3 Verordnung über die steuerliche Abzugsberechtigung für Beiträge an anerkannte Vorsorgeformen BWIS Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit CODIS Combined DNA Index System DAP Dienst für Analyse und Prävention (VBS) DBG Bundesgesetz über die direkte Bundessteuer DEZA Direktion für Entwicklung und Zusammenarbeit DSG Bundesgesetz über den Datenschutz
11 16. Tätigkeitsbericht 2008/ 2009 des EDÖB DSMS Datenschutzmanagementsystem EAV Eidgenössische Alkoholverwaltung EDA Eidgenössisches Departement für auswärtige Angelegenheiten EDÖB Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EPA Eidgenössisches Personalamt fedpol Bundesamt für Polizei GEWA Datenverarbeitungssystem zur Bekämpfung der Geldwäscherei GK Gemeinsame Kontrollinstanz (Schengen) GUMG Bundesgesetz über genetische Untersuchungen beim Menschen GwG Geldwäschereigesetz IPAS Informatisiertes Personennachweis-, Aktennachweis- und Verwaltungssystem ISA Informationssystem Ausweisschriften ISMS Informationssicherheitsmanagementsystem IWGDPT International Working Group on Data Protection in Telecommunications JANUS Gemeinsames Informationssystem der kriminalpolizeilichen Zentralstellen des Bundes KVG Bundesgesetz über die Krankenversicherung MEDAS Medizinische Abklärungsstelle der Invalidenversicherung RAD Regionaler Ärztlicher Dienst RTVG Bundesgesetz über Radio und Fernsehen RVOG Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 1997 SAS Schweizerische Akkreditierungstelle SBF Staatssekretariat für Bildung und Forschung SchKG Bundesgesetz über Schuldbetreibung und Konkurs SECO Staatssekretariat für Wirtschaft SECO
12 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Sedex Secure data exchange SGV Schweizerische Gesellschaft der Vertrauens- und Versicherungsärzte SIS Schengener Information System SKH Schweizerischen Korps für humanitäre Hilfe UBI Unabhängige Beschwerdeinstanz für Radio und Fernsehen UID Unternehmens-Identifikationsnummer ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein UVG Unfallversicherungsgesetz VAD Vertrauensärztlicher Dienst VBGÖ Verordnung vom 24. Mai 2006 über das Öffentlichkeitsprinzip der Verwaltung (Öffentlichkeitsverordnung) VBS Departement für Verteidigung, Bevölkerungsschutz und Sport VDSG Verordnung zum Bundesgesetz über den Datenschutz VDSZ Verordnung über die Datenschutzzertifizierungen VSABV Verordnung über die Ausnahmen von der Schweigepflicht in der beruflichen Vorsorge und über die Auskunftspflicht der AHV/IV-Organe VSMS Verband Schweizer Markt- und Sozialforscher VVG Bundesgesetz über den Versicherungsvertrag VwVG Bundesgesetz über das Verwaltungsverfahren Weko Wettbewerbskommission
13 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
14 16. Tätigkeitsbericht 2008/ 2009 des EDÖB luationsbericht wird sodann an die staatliche Produktzertifizierungsstelle (die es in der Schweiz noch nicht gibt) zur Beurteilung und gegebenenfalls zur Erteilung des Zertifikats weitergeleitet, dessen Anerkennung auf europäischer Ebene durch das Abkommen SOG-IS (Senior Officials Group for Information Security) und auf interna- tionaler Ebene durch das Abkommen CCRA (Common Criteria Recognition Arrange- ment) garantiert ist. Abgesehen von dem festgestellten strukturellen Unterschied ist auch darauf hinzuweisen, dass die Zertifizierung ISO 15408-1/3 relativ komplex und damit eher aufwendig ist und sich auf die wesenseigene Sicherheit und nicht auf den Datenschutz bezieht, und dass sie viele ausserhalb des Bereichs Produkte/Systeme liegende Anforderungen umfasst. Die Erweiterung dieser Norm auf den Datenschutz erscheint uns daher äusserst schwer machbar. Im Übrigen beziehen die IT-Produkte und -Systeme die IT-Dienste nicht fundamental mit ein, für welche die Norm ISO/IEC 20000:2005 (Information Technology – Service Management) als Referenz dienen könnte. Eine Ausweitung der Sicherheit auf den Datenschutz wäre hier leicht denkbar, wie wir das auch für die Erweiterung der Infor- mationssicherheitsmanagmentsysteme (ISMS, ISO 27001) auf die DSMS getan haben (vgl. unseren 15. Tätigkeitsbericht 2007/2008, Ziff. 1.1.2). Es geht indessen weder aus dem DSG und der Verordnung über die Datenschutzzertifizierungen (VDSZ) noch aus den Erläuterungen dazu klar hervor, dass der Gesetzgeber die Dienste im Rahmen der Produkt- und Systemzertifzierung einbeziehen wollte. Die Herausgabe von Richtlinien für die IT-Dienste scheint uns daher verfrüht. Schliesslich haben wir auch den vom Unabhängigen Landeszentrum für Datenschutz ( ULD) Schleswig-Holstein erarbeiteten Anforderungskatalog geprüft, der heute als «EuroPriSe Criteria Catalogue V0.3» weitergeführt wird. Dieses Projekt für ein «euro- päisches Datenschutz-Gütesiegel» soll bescheinigen, dass die IT-Produkte oder -Dien- ste eine mit den europäischen Vorschriften und der Gesetzgebung der Pilotländer (Agencia de Protección de Datos de la Comunidad de Madrid und Commission Natio- nale Informatique et Libertés) konforme Verwendung erleichtern. Der vorgeschlagene Kriterienkatalog führt unseres Erachtens die IT-Dienste auf reichlich gewagte Weise ein, er stösst offenbar europaweit auf keine sehr breite Unterstützung und gleicht eher einer «Checklist» betreffend die Merkmale des Produkts oder des Dienstes und die Anforderungen an ihre Betreiber als einem Anforderungskatalog für zertifizierbare Produkte; ausserdem würde er eine ziemlich umfangreiche Anpassung an das schwei- zerische Recht notwendig machen. Wir werden daher unsere Nachforschungen in diesem weit gefassten Gebiet fortführen, um die erwarteten Richtlinien möglichst bald herausgeben zu können.
15 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.1.2 Inkrafttreten der Richtlinien für die Zertifi zierung von Datenschutzmanagementsystemen Am 1. September 2008 sind unsere Richtlinien über die Mindestanfor- derungen an ein Datenschutzmanagementsystem samt Anhang in Kraft getreten. Sie lehnen sich stark an die internationalen Standardnormen ISO 27001 und ISO 27002 an, wobei das Schwergewicht von der Informa- tionssicherheit auf den Datenschutz verlagert wurde. Wie wir in unserem 15. Tätigkeitsbericht 2007/2008 (Ziff. 1.1.1) festgehalten haben, sieht die Verordnung über die Datenschutzzertifizierungen (VDSZ) vor, dass der EDÖB Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem zu erlassen habe. Diese Richtlinien über die Zertifizierung von Organisationen und Ver- fahren (nachfolgend: DSMS-Richtlinien) haben wir nun ausgearbeitet. Sie sind am 1. September 2008 in Kraft getreten (siehe auf unserer Webseite www.derbeauftragte. ch, Themen – Datenschutz – Datenschutzzertifizierung). Unsere DSMS-Richtlinien lehnen sich stark an die internationalen Normen und Stan- dards an, insbesondere an ISO 27001:2005 (betreffend das Informationssicherheitsma- nagementsystem), aber auch an ISO 9001:2000 (betreffend das Managementsystem), wie dies in der VDSZ vorgesehen ist. Bei der Erstellung unserer Richtlinien haben wir vor allem die in den vorgenannten ISO-Normen enthaltenen Anforderungen an Manage- mentsysteme übernommen. Gleichzeitig haben wir sichergestellt, dass das Schwerge- wicht auf die Datenschutzaspekte gelegt wurde. So ist anstelle des in ISO 27001:2005 enthaltenen Begriffs «Informationssicherheit» der Begriff «Datenschutz» einzusetzen. Auch wurde allgemein die Risikoanalyse gemäss ISO ergänzt durch die Einführung einer (Nicht-)Konformitätsanalyse. Als Ziele und Massnahmen führen die Richtlinien die allgemeinen Grundsätze nach DSG auf. Diese Ziele und Massnahmen haben wir im «Leitfaden für das Datenschutz-Management» im Anhang zu den Richtlinien konkreti- siert. Der Leitfaden beschreibt für jeden Datenschutzgrundsatz jeweils das Ziel sowie die entsprechende Massnahme und anschliessende Umsetzung (eine ausführlichere Beschreibung findet sich in unserem 15. Tätigkeitsbericht 2007/2008, Ziff. 1.1.2). Nachdem unsere DSMS-Richtlinien in Kraft getreten sind, steht es nun privaten Unter- nehmen frei, sich bei der Schweizerischen Akkreditierungsstelle (SAS) zu akkreditie- ren, um sodann Datenschutzzertifizierungen vornehmen zu können.
16 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.1.3 Volkszählung 2010 Im Rahmen der Vorbereitungsarbeiten für die eidgenössische Volkszäh- lung 2010 haben wir mit dem Bundesamt für Statistik zusammengear- beitet und zu den Änderungsentwürfen zur Verordnung über die eidge- nössische Volkszählung und zur Verordnung über die Durchführung von statistischen Erhebungen des Bundes Stellung genommen. Im Jahre 2010 wird die eidgenössische Volkszählung erstmals in der Schweiz haupt- sächlich auf der Grundlage von Informationen aus den Verwaltungsregistern sowie teilweise von Umfrageerhebungen bei einer Stichprobenauswahl von Haushalten durchgeführt. Anlässlich der Vorbereitungsarbeiten für diese Volkszählung haben wir mit dem Bundesamt für Statistik zusammengearbeitet und im Rahmen der Ver- nehmlassungsverfahren zum Entwurf zur Abänderung der Verordnung über die eid- genössische Volkszählung und zum Verordnungsentwurf über die Durchführung von statistis chen Erhebungen des Bundes Stellung genommen. Bei dieser Gelegenheit hoben wir insbesondere die Notwendigkeit hervor, einerseits ein minimales Sicher- heitsniveau für die elektronische Übertragung von Personendaten, die nicht über die Plattform Sedex erfolgt, festzulegen und andererseits die Bedingungen für eine Ano- nymisierung der Personendaten im Rahmen der eidgenössischen Volkszählung 2010 zu präzisieren. 1.1.4 Identifi kationsnummer für Unternehmen Nach einer ersten Projektversion zur Einführung einer Rechtsgrund- lage für die neue Unternehmens-Identifi kationsnummer (UID) in einer Verordnung und im Anschluss an unsere Kritik erklärte sich das Bun- desamt für Statistik bereit, ein neues Gesetz auszuarbeiten. Die Ver- wendung der UID im Sektor Business to Business ist indessen unseres Erachtens weiterhin problematisch. Das Bundesamt für Statistik (BFS) plant die Einführung einer Unternehmens-Identifi- kationsnummer (UID). Ziel dieses Projekts ist ein erleichterter Informationsaustausch in nerhalb der Verwaltung (Government to Government, G2G), zwischen den Unter- nehmen und der Verwaltung (Business to Government, B2G) sowie zwischen den ver- schiedenen Unternehmen (Business to Business, B2B). In einer ersten Projektversion sah das BFS die Einführung der Rechtsgrundlage in der Verordnung über das Betriebs- und Unternehmensregister vor. Im Anschluss an un- sere Kritik zu diesem Thema (vgl. unseren 15. Tätigkeitsbericht 2007/2008, Ziff. 1.1.6)
17 16. Tätigkeitsbericht 2008/ 2009 des EDÖB hat das BFS anerkannt, dass eine Gesetzesgrundlage im formellen Sinn notwendig ist, und uns einen Gesetzesentwurf über die Unternehmens-Identifikationsnummer und das Unternehmens-Identifikationsregister vorgelegt (UID-Gesetz). I n verschiedenen Punkten, die insbesondere die Sicherheit der Daten und ihre Be- kanntgabe an Dritte betreffen, konnten wir Kompromisslösungen finden. Eine Diver- genz besteht jedoch weiterhin bezüglich dem Einsatz der UID zwischen verschiedenen Unternehmen (Sektor B2B): Es zeigt sich nämlich, dass diese Verwendung die Mög- li chkeiten für eine Überwachung und Persönlichkeitsverletzung stark erhöht. Diese Risiken, wie etwa die Profilierung, wurden weder analysiert noch wenigstens in der vorgelegten Dokumentation hervorgehoben. Wir sind der Meinung, dass die Benut- zung der UID für B2B-Anwendungen verboten oder zumindest eingeschränkt werden sollte. 1.1.5 Neues Abkommen zwischen der Schweiz und den USA über die Übermittlung von Flugpassagierdaten Zwischen der Schweiz und den USA wurde ein neues Abkommen betref- fend die Übermittlung von Passagierdaten an die US-Behörden durch Fluggesellschaften abgeschlossen. In unserer Stellungnahme bemän- gelten wir, dass das neue Abkommen keine eigene Datenschutzklausel mehr enthält, sondern lediglich auf amerikanisches Recht verweist. Die Schweiz und die USA haben die Übermittlung von Personendaten der Passagiere an die US-Behörden durch Fluggesellschaften 2005 in einem Abkommen geregelt (vgl. unseren 13. Tätigkeitsbericht 2005/2006, Ziff. 1.1.2). Dieses ist 2008 abgelaufen. Daher wurde nun ein neues Abkommen abgeschlossen. Im neuen Abkommen wird festgehalten, dass die zu liefernden Personendaten da- tenschutzrechtlich der amerikanischen «System of Records Notice (SORN) for the Au- tomated Targeting System (ATS)» unterstehen. Nebst diesem Verweis findet sich im Abkommen selbst – anders als im vorherigen – keine eigene Datenschutzbestimmung mehr. Aus diesem Grund hielten wir in unserer Stellungnahme zum Abkommensent- wurf fest, dass es für die Übermittlung der Personendaten eine gesetzliche Grund- lage, wie beispielsweise das bisherige Abkommen, brauche. Darin müsste auch die Bearbeitung inkl. das Beschaffen der Personendaten, die Zugriffe, die Aufbewahrung und Löschung der Personendaten, das Auskunftsrecht usw. geregelt werden. Mit dem vorgesehenen Hinweis auf die SORN werde auf amerikanisches Recht (einer «Notice») v erwiesen, das nun auch dann Anwendung finden solle, wenn Personendaten von der Schweiz in die USA übermittelt würden. Die SORN könne jedoch einseitig von
18 16. Tätigkeitsbericht 2008/ 2009 des EDÖB den USA abgeändert werden, ohne dass die Schweiz darauf Einfluss nehmen könne. Änderungen würden der Schweiz lediglich mitgeteilt. Aufgrund dessen erachteten wir die SORN als keine genügende gesetzliche Grundlage im Sinne des DSG. Daran ändert auch die Tatsache nichts, dass die USA im Abkommen versichern, dass die Personen- daten den gleichen Datenschutz geniessen wie im 2007 zwischen den USA und der EU abgeschlossenen Abkommen über die Übermittlung von Flugpassagierdaten. Dort wurden zudem die datenschutzrechtlichen Garantien noch mehr gelockert, wie dies die Artikel 29 Datenschutzgruppe der EU in einer Stellungnahme festgehalten hat. Zu- dem wäre es begrüssenswert gewesen, wenn die Schweiz mit den USA ein analoges Abkommen, ohne einseitigen Verweis auf amerikan isches Recht, hätte abschliessen können. 1.1.6 Abschluss eines Safe-Harbor-Abkommens Schweiz-USA Die Vereinigten Staaten verfügen über kein angemessenes Datenschutz- niveau, so dass für den Transfer von Personendaten zu einer Unterneh- mung in den USA spezielle Garantien vereinbart werden müssen. Ge- meinsam mit dem Staatssekretariat für Wirtschaft (SECO) haben wir mit den USA ein Regelwerk ausgearbeitet, welches für die darunter zertifi zierten Unternehmen ein ausreichendes Datenschutzniveau ge- währleistet. Auf diese Weise wird der Datentransfer zwischen Schwei- zer und zertifi zierten U.S. Unternehmen erheblich erleichtert. Da die Gesetzgebung der USA aus Sicht der Schweiz keinen angemessenen Daten- schutz gewährleistet, mussten Unternehmen in der Schweiz mit ihren Partnern in den USA bisher einen Vertrag abschliessen, der einen ausreichenden Datenschutz garan- tiert, und ihn uns zur Prüfung vorlegen. Erst danach dürfen Personendaten an das Un- ternehmen in den USA übermittelt werden. Das bestehende Safe Harbor Agreement zwischen der EU und den USA wird vom EDÖB als Vereinbarung erachtet, welche einen ausreichenden Schutz gewährleistet. Deshalb haben uns die USA angefragt, ob die Schweiz dem Safe Harbor Agreement beitreten wolle. Zusammen mit dem SECO hat der EDÖB im Rahmen des «Kooperationsforums Schweiz-USA für Handel und In- vestitionen» mit dem U.S.-Department of Commerce nun das «U.S.-Swiss Safe Harbor Framework» als neues Instrument geschaffen, welches den Datentransfer zwischen der Schweiz und den USA für Unternehmen vereinfacht. Künftig können sich U.S. Unternehmen beim Handelsministerium der USA unter die- sem Abkommen zertifizieren. Damit verpflichten sie sich, die darin festgehaltenen Da- tenschutzgrundsätze einzuhalten. Für zertifizierte Unternehmen gewährleistet dies in
19 16. Tätigkeitsbericht 2008/ 2009 des EDÖB den USA einen angemessenen Datenschutz. Damit kann ein freier Datenverkehr zwi- schen Schweizer und U.S. Unternehmen stattfinden. Die Europäische Gemeinschaft verfügt seit dem Jahr 2000 über ein vergleichbares Regime. Fü r Unternehmen in der Schweiz hat dieses Regime den Vorteil, dass sie mit zer- tifizierten U.S. Unternehmen weder einen Vertrag aushandeln noch den EDÖB über den Datentransfer informieren müssen. Die Rechte der betroffenen Personen werden gleichfalls gestärkt. So sieht das «U.S.-Swiss Safe Harbor Framework» spezielle Kon- fliktlösungsgremien im Fall von Datenschutzrechtsverletzungen vor. Daneben kann in den USA die Federal Trade Commission bei schwerwiegenden und wiederholten Da- tenschutzverletzungen Massnahmen gegen zertifizierte Unternehmen ergreifen. Das Department of Commerce (www.export.gov/safeharbor) führt auf seiner Webseite eine Liste dieser Unternehmen. M it dem «U.S.-Swiss Safe Harbor Framework» haben das SECO und der EDÖB mit den USA eine Grundlage geschaffen, welche auf der einen Seite den Datentransfer zwischen den beiden Ländern erleichtert und auf der anderen Seite die Datenschutz- rechte der betroffenen Personen stärkt.
20 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.2 Datenschutzfragen allgemein 1.2.1 Datenschutzkonforme Videoüberwachung dank Chiffrierung Die Videoüberwachung entwickelt sich ständig weiter. Dank der ver- schiedenen Methoden zur Bildverschlüsselung und der Aufteilung der Chiffrierschlüssel lassen sich datenschutzkonforme Technologien ein- setzen und mögliche Missbräuche vermeiden. Vereinbarungen zwi- schen Entwicklern und Herstellern gestatten eine bessere Verbreitung dieser Technologien. In unserem letzten Tätigkeitsbericht hatten wir eine Anwendung für eine datenschutz- fr eundliche Videoüberwachung vorgestellt (vgl. 15. Tätigkeitsbericht 2007/2008, Ziff. 1.2.3). Die Technologien, welche die Methode der Chiffrierung (verschlüsselte Bilder) verwenden, werden laufend weiterentwickelt. Zusätzlich zur Chiffriermethode haben die Entwickler nun die Möglichkeit einer Auf- teilung des Dechiffrierschlüssels in zwei physisch getrennte Teile geschaffen. Diese Eigenschaft kann das Vier-Augen-Prinzip gewährleisten: Die beiden Teile des Schlüs- sels werden an zwei verschiedene Personen übermittelt, was mögliche Missbräuche erheblich einschränkt. Dieses Feature wird von den Endbenutzern sehr geschätzt. Ausserdem haben die Entwickler eine Vereinbarung mit der multinationalen Herstel- lerfirma einer Verwaltungssoftware für Videoüberwachungssysteme (ähnlich dem webbasierten Videoüberwachungssystem, vgl. dazu Ziff. 1.2.2) abgeschlossen. So ist es in Zukunft möglich, diesen Kameratyp in ein Standard-Managementprodukt zu in- tegrieren. Dank solcher Vereinbarungen haben die Entwickler die Möglichkeit einer besseren Verbreitung ihrer Kameras. Wir befürworten die Entwicklung und Verbreitung von datenschutzfreundlichen Tech- nologien und Produkten.
21 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.2.2 Netzwerkbasiertes Videoüberwachungssystem Dank der technischen Fortschritte der letzten Jahre haben sich die Vi- deoüberwachungssysteme namhaft weiter entwickelt. Vom einfachen Modell mit einer Kamera und einem Bildschirm ist man zu komplexeren Systemen übergegangen, bestehend aus mehreren an verschiedenen Standorten angebrachten und von mehreren Nutzern überwachten Ka- meras. Während die Entwicklung der Technik zu einer Ausbreitung der Videoüberwachungssysteme geführt hat, sind auch neue Produkte auf dem Markt erschienen, die einen besseren Datenschutz sicherstellen können. Noch vor einiger Zeit beschränkten sich die Videoüberwachungssysteme auf einfache Kameras und Betriebspersonal, das die Bilder in Echtzeit verfolgte. Die Entwicklung der Technik in den letzten Jahren, insbesondere die Verbreitung von Internet und Di- gitalkameras, ermöglicht nunmehr die Ausarbeitung komplexerer Systeme. Während diese Entwicklung einerseits eine Ausbreitung der Videoüberwachung auslöste, sind andererseits heute auch datenschutzfreundliche Technologien erhältlich. Die modernen Videoüberwachungssysteme verfügen so über mehrere hundert Kame- ras, die auf die ganze Welt verteilt sind. Dank der Verbreitung über Internet gelangen die Bilder zu zahlreichen Nutzern in mehreren Überwachungszentralen. Die Nutzer können unterschiedliche Aufgaben, Verantwortungsbereiche und Rechte haben. Die Videoüberwachungssysteme müssen die Verwaltung aller dieser Variablen ermög- lichen. Die Bilder werden nicht mehr direkt übermittelt, sondern in einer zentralen Datenbank zusammengeführt, auf welche die Nutzer zugreifen können. Der Schutz dieser Datenbank – sowie ihres Host-Servers – spielt eine grundlegende Rolle. Im Rahmen unserer Aufsichtstätigkeiten haben wir die Entwicklung der Technik ver- folgt und insbesondere ein netzbasiertes Videoüberwachungssystem mit folgenden Eigenschaften untersucht:
22 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
Die Möglichkeit, verschiedene Kameramodelle zu integrieren, erlaubt eine grosse Flexibilität und gegebenenfalls eine Auswechslung der Kameras. Wir sind der Ansicht, dass ein solches Produkt die legitimen Interessen der Videoü- berwachung mit denen des Datenschutzes in Einklang bringt, insbesondere wenn die gewählten Kameras eine an der Basis robuste Chiffrierung ermöglichen (vgl. dazu Ziff. 1.2.1). 1.2.3 Leitfaden zu biometrischen Erkennungssystemen Wir haben einen Leitfaden für Entwickler und Betreiber von Systemen der biometrischen Erkennung ausgearbeitet. Er ist in drei Abschnitte unterteilt: Der erste enthält terminologische Präzisierungen. Der zwei- te listet die für die Planung und die Nutzung solcher Systeme geltenden Leitsätze auf. Im letzten Teil wird erörtert, welche Aspekte bei der Be- urteilung von biometrischen Erkennungssystemen zu berücksichtigen s ind, und welchen datenschutzrechtlichen Anforderungen solche Sy- steme genügen sollten. Auf Grund von zahlreichen Fragen im Bereich der Biometrie, und insbesondere im Anschluss an unsere Empfehlung für eine Dezentralisierung der biometrischen Daten im Sportzentrum KSS (vgl. dazu Ziff. 1.2.4), haben wir einen Leitfaden zu biometrischen Erkennungssystemen erstellt. Dieses Dokument ist in drei Abschnitte unterteilt. Der Einführungsteil ist insbesondere der Terminologie gewidmet, deren Kenntnis für ein gutes Verständnis der komplexen Materie notwendig ist. Der zweite Abschnitt zählt die bei der Planung und Nutzung solcher Systeme geltenden Leitsätze auf und erläu- tert sie. Der dritte und letzte Teil besteht in einem Leitfaden, der eine Liste von Fragen umfasst, die sich im Rahmen der Beurteilung solcher Systeme stellen; dann folgen die Anforderungen, die solche Systemen unter dem Gesichtspunkt des Datenschutzes zu erfüllen haben.
23 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Terminologisch ist zwischen den biometrischen Aufnahmeprozessen, also der Auf- zeichnung einer persönlichen biometrischen Referenz, und den biometrischen Verfah- ren zur Überprüfung einer angeblichen Identität und Identifizierung einer Person auf- grund einer vorhandenen biometrischen Angabe zu unterscheiden. Auf der Grundlage verschiedener biometrischer (physiologischer oder verhaltenstypischer) Merkmale werden Roh daten erstellt, aus denen abgeleitete Daten oder biometrische Profile ge- wonnen werden. Letztere ermöglichen die Feststellung einer Identität oder die Iden- tifizierung der betroffenen Person aufgrund des biometrischen Vergleichs zwischen dem Referenz- und dem Testprofil. Da jeder biometrische Vergleich probabilistischer Art ist, sind die Rate der falschen Übereinstimmungen (wenn eine Person als eine andere identifiziert wird) und die Rate der falschen Zurückweisungen (wenn die regis- trierte Person nicht erkannt wird), und damit die Zuverlässigkeit des Systems von der gewählten Akzeptanzschwelle abhängig. Die im zweiten Teil des Leitfadens erwähnten Prinzipien – die Rechtmässigkeit, die Verhältnismässigkeit, die Zweckbindung und die Transparenz der biometrischen Be- arbeitungen, die Richtigkeit (oder die Qualität) und die Sicherheit der biometrischen Daten, sowie die Rechte der betroffenen Personen – haben ihre Grundlage im DSG. Mit Bezug auf den Evaluationsleitfaden gilt die erste Serie von Fragen der Zweckbin- dung des Erkennungssystems, der Art des Erkennungsverfahrens (Überprüfung oder I dentifikation) und den Modalitäten der Speicherung der biometrischen Daten. Die zweite Fragenserie betrifft die Mittel der biometrischen Erkennung – die verwende- ten Modalitäten (biometrische und/oder traditionelle Verfahren), die Spuren, die Art (Rohdaten oder abgeleitete Daten) und den Sensibilitätsgrad der gewählten biome- trischen Merkmale. Die dritte Serie geht auf die Aspekte der Datensicherheit und der Zuverlässigkeit des Systems ein; dabei werden die Systemarchitektur, die Sicherheits- massnahmen und die Funktionsweise der Aufnahme- und Erkennungsverfahren, ein- schliesslich ihrer Konfiguration und ihrer technischen Leistungsfähigkeit, analysiert. In der vierten und letzten Fragenserie schliesslich werden die Rechte der betroffenen Personen und die Voraussetzungen für die Pflicht zur Anmeldung der erstellten bio- metrischen Datensammlungen zusammengefasst.
24 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.2.4 Biometrische Zugangssysteme beim Sportzentrum KSS: weitere Entwicklung Nachdem sich das Sportzentrum KSS geweigert hat, eine unserer Emp- fehlungen zu befolgen, haben wir den Fall dem Bundesverwaltungsge- richt zur Entscheidung unterbreitet. Nach Erhalt unserer Empfehlungen (vgl. unseren 15. Tätigkeitsbericht 2007/2008, Ziff. 1.2.5) liess uns das Sportzentrum KSS in Schaffhausen wissen, dass es sich weigere, die Empfehlung betreffend die dezentralisierte Speicherung der biometrischen Daten umzusetzen. Werden Personendaten in einer zentralisierten Datenbank gespeichert, verlieren die betroffenen Personen die Kontrolle über die Verwendung ihrer Daten. Nun sieht der Verhältnismässigkeitsgrundsatz aber vor, dass jegliche Bearbeitung von Personen- daten mit Hilfe von Mitteln erfolgen muss, die zur Erreichung des verfolgten Zwecks geeignet sind und die in Anbetracht der Zweckbestimmung nicht übermässig erschei- nen. Im vorliegenden Fall sind wir der Auffassung, dass die Speicherung der biome- trischen Daten in einer zentralisierten Datenbank angesichts der Zweckbindung der Bearbeitung einen unverhältnismässigen Eingriff in die Rechte der betroffenen Per- sonen darstellt. Die Dezentralisierung der biometrischen Daten kann mittels unterschiedlicher Tech- nologien erzielt werden. Es gibt verschiedene Arten von Datenträgern, die es den be- troffenen Personen ermöglichen, die Verwendung ihrer Personendaten teilweise oder vollständig zu kontrollieren. Im Fall KSS haben wir die Umsetzung einer Zwischenlö- sung empfohlen (biometrischer Vergleich auf der Karte – «match on card»), die eine Teilkontrolle bietet. Mit dieser Art Datenträger lassen sich die biometrischen Daten auf einer persönlichen Karte speichern und das Vergleichsverfahren kann auf der Karte erfolgen. Angesichts der Weigerung des KSS, unsere Empfehlung zu befolgen, haben wir den Fall dem Bundesverwaltungsgericht unterbreitet. Wir erwarten derzeit noch seinen Entscheid.
25 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.2.5 Datenbearbeitungen durch Markt- und Sozialforschungsinstitute Im Bemühen, die Grundsätze des DSG einzuhalten und sich so von weni- ger seriösen Firmen abzuheben, die im Bereich der Direktvermarktung tätig sind, ist der Verband Schweizer Markt- und Sozialforscher (VSMS) an uns gelangt, um uns verschiedene Datenschutzfragen zu unterbrei- ten und sich zu vergewissern, dass seine Methoden wie auch seine Dokumentation wirklich im Einklang mit der schweizerischen Gesetz- gebung stehen. Wir haben die gestellten Fragen beantwortet und der Branche verschiedene Verbesserungen vorgeschlagen. Der Verband ist unseren Anmerkungen gefolgt und hat seine Reglemente und internen Weisungen angepasst. Der Verband Schweizer Markt- und Sozialforscher (VSMS) vertritt die Interessen sei- ner Branche im Namen seiner Einzel- und Kollektivmitglieder, zu denen insbesondere die wichtigsten im Bereich der Sozial- und Marktforschung tätigen Institute gehören. Ebenfalls in dem Verband vertreten sind die Forscher von Instituten, die im Bereich Markt-, Meinungs- und Sozialforschung spezialisiert sind, die unabhängigen Werbebe- rater oder Marketingleiter in Unternehmen oder Organisationen, die eine mit Markt- forschung verbundene Tätigkeit verfolgen, sowie Dozenten und Studenten der Sozi- alwissenschaften. Markt- und Sozialforschung ermöglicht die Erhebung von verschiedenen Informati- onen über das wirtschaftliche, kulturelle und politische Leben eines Landes oder einer Region. Im Rahmen einer Marktforschung oder einer Meinungsumfrage werden Per- sonen aus der Bevölkerung aufgefordert, ihre ganz persönliche Ansicht zu zahlreichen Themen zu äussern. Dies geschieht freiwillig. Über die Auswertung dieser Informati- onen können unter anderem eine Momentaufnahme der politischen Meinungen in der demokratischen Schweiz erstellt, der Stand der gesellschaftlichen und kulturellen Entwicklung ermittelt oder auch Produkte und Dienstleistungen bewertet und opti- miert werden; so soll es möglich werden, die Funktionsweise der Gesellschaft besser zu verstehen und zu begreifen, wie die Bevölkerung oder ihre verschiedenen Teil- gruppen denken und handeln. Die Unternehmen bedienen sich der Marktforschung, um das Konsum- und Kaufverhalten zu analysieren und damit den Bedürfnissen und Wünschen der Verbraucher besser gerecht zu werden. Unternehmen, Organisationen und andere Vereinigungen, aber auch politische Entscheidungsträger, Parteien und Verwaltungen stützen sich auf die im Rahmen dieser Erhebungen gewonnenen Daten, um wichtige Entscheidungen zu treffen.
26 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Die Markt- und Sozialforschungsinstitute, die sich auf das kollektive Markenzeichen berufen, bieten die Gewähr, dass keine Erhebung zu offen eingestandenen oder verborgenen Verkaufs-, Werbe- oder Bestellzwecken durchgeführt wird. Ebenso ga- rantieren die Richtlinien des VSMS, dass die Daten nur in anonymisierter Form ihren Auftraggebern oder Dritten bekannt gegeben werden, sodass sich die Identität der betroffenen Personen nicht aus ihren Antworten ableiten lässt. Personen, die sich zur Teilnahme an einer Umfrage bereit erklären, gehen davon aus, dass ihre Daten vom Forsch ungsinstitut ausgewertet und spätestens vor der Übermittlung der Untersu- chungsergebnisse an Dritte anonymisiert werden. In diesem Rahmen hat uns der VSMS ein Problem unterbreitet, mit dem er derzeit konfrontiert ist: Die Auftraggeber des VSMS möchten neuerdings zum Zweck der Qua- litätskontrolle Interviews oder Gruppendiskussionen anhören und Dokumente oder In- formationen erhalten, die eine Identifikation der Befragten ermöglichen würden. Dazu halten wir fest, dass eine Bekanntgabe (nicht anonymisierter) Personendaten an Dritte zum Zweck der Qualitätskontrolle eine Zweckänderung darstellt und für die betroffene Person klar erkennbar und durch einen Rechtfertigungsgrund (grundsätzlich die Ein- willigung) legitimiert sein muss. Wir haben dem VSMS eine Anpassung seiner internen Regelungen und Verträge im Einklang mit der Datenschutzgesetzgebung empfohlen. Der Verband hat unsere Be- merkungen befolgt und die notwendigen Änderungen vorgenommen. 1.2.6 Datenaustausch zwischen Pensionskasse und Steuerverwaltung Wir haben ein Gutachten erstellt, in welchem die Frage zu klären war, ob eine Pensionskasse datenschutzrechtliche Bestimmungen verletzt, wenn sie in Erfüllung einer gesetzlichen Meldepfl icht jährlich Renten- und Leistungsbescheinigungen an die Steuerverwaltung bekannt gibt. Wir kommen zum Schluss, dass sowohl steuerrechtlich als auch versi- cherungsrechtlich eine gesetzliche Grundlage für eine Bescheinigungs- pfl icht vorliegt. Weder Art. 86a Abs. 1 lit. e BVG noch Art. 19 Abs. 4 DSG sind im Falle von gesetzlichen Meldepfl ichten anwendbar. Die Steuerverwaltung des Kantons Bern verlangte gestützt auf Art. 172 Abs. 1 lit. b des bernischen Steuergesetzes (StG) die jährliche Einreichung von Renten- und Leistungs- bescheinigungen. Mit der Einführung des neuen Lohnausweises wurde ein Formular eingeführt, das neu als Lohn- und Rentebescheinigung bezeichnet wird. Mit dieser Neuregelung verlangt nun die kantonale Veranlagungsbehörde die jährliche Meldung.
27 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Die Rechtsvertreterin der Pensionskasse erblickte darin einen Konflikt zwischen Art. 172 Abs. 1 lit. b des StG und Art. 129 Abs. 1 lit. b des Bundesgesetzes über die direkte Bundessteuer (DBG) einerseits sowie Art. 17 und 19 DSG und Art. 86a Abs. 1 lit. e des Bundesgesetzes über die berufliche Vorsorge (BVG) andererseits. Wir haben ein Gutachten erstellt mit dem Ziel, die Frage zu beantworten, ob die Pen- sionskasse mit der gesetzlich festgelegten jährlichen Meldung an die Steuerbehörde datenschutzrechtliche Bestimmungen verletzt. Zunächst war zu prüfen, ob nach Art. 17 Abs. 1 DSG für die Beschaffung der Daten eine gesetzliche Grundlage vorhanden ist, aufgrund welcher die Steuerbehörde die Rentendaten verlangen kann. Es wurde festgestellt, dass für die Einreichung von Ren- ten- und Leistungsbescheinigungen eine gesetzliche Grundlage für die Meldepflicht sowohl in Art. 172 Abs. 1 lit. b StG als auch in Art. 129 Abs. 1 lit. b des DBG vorhanden ist. Neben den Steuergesetzen findet sich auch in der Gesetzgebung über die berufliche Vorsorge, Art. 81 Abs. 3 BVG und Art. 8 der Verordnung über die steuerliche Abzugs- b erechtigung für Beiträge an anerkannte Vorsorgeformen (BVV 3), eine gesetzliche Bescheinigungspflicht gegenüber den Steuerbehörden. Da die Bescheinigungspflicht ausdrücklich in den Steuergesetzen geregelt ist, verletzt die Datenbekanntgabe Art. 19 Abs. 1 DSG nicht. Danach war zu prüfen, ob Art. 19 Abs. 4 DSG eine Einschränkung der zulässigen Da- tenweitergabe erlaubt. Da die spezialgesetzliche Regelung im BVG Vorrang hat, war zu klären, ob die Pensionskasse die Datenweitergabe gestützt auf die datenschutzrecht- liche Bestimmung nach Art. 86a Abs. 1 lit. e BVG einschränken oder verweigern dürfte. Wie die Auslegung ergab, ist Art. 86a Abs. 1 lit. e BVG infolge der Einführung der Daten- s chutzgesetzgebung des Bundes entstanden. Dabei wurden datenschutzrechtliche Bestimmungen des BVG an das DSG angepasst. Bis zum Gesetz über die Anpassung und Harmonisierung der gesetzlichen Grundlagen für die Bearbeitung von Personen- daten in den Sozialversicherungen vom 23. Juni 2001 waren die Datenbekanntgabe und die Ausnahmen von der Schweigepflicht in der Verordnung des Bundesrates vom 7. Dezember 1987 geregelt gewesen. Aus Gründen der Rechtsicherheit und der Vereinheitlichung wurden verschiedene Än- derungen in den Sozialversicherungsgesetzen eingefügt. Im Bereich des BVG wurden die Anpassungen mit der Einfügung des Art. 86a ff. vollzogen. Art. 86a Abs. 1 lit. e BVG bezieht sich auf die Datenbekanntgabe und entspricht sinngemäss dem bishe- rigen Art. 1 Abs. 1 der Verordnung über die Ausnahmen von der Schweigepflicht in der beruflichen Vorsorge und über die Auskunftspflicht der AHV/IV-Organe (VSABV), welcher die Auskunftspflicht regelte. Diese Bestimmung unterschied zwischen einer
28 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Datenbekanntgabe im Einzelfall auf schriftliches und begründetes Gesuch hin, Fällen, in denen Daten ohne weiteres auf Anfrage hin bekannt gegeben werden, sowie Fällen, in denen es keine Zustimmung für die Datenbekanntgabe braucht. Wenn die Pensi- onskasse gestützt auf Art. 86a Abs. 1 lit. e BVG ihre Datenbekanntgabe einschränken oder verweigern könnte, wäre eine Berufung auf den Rechtfertigungsgrund «beson- dere schützenswerte Privatinteressen» möglich. Nach bundesgerichtlicher Rechtspre- chung müssen sich solche überwiegende private Interessen jedoch in der Person des Versicherten selbst, dem Arbeitgeber oder anderer beteiligter Personen manifestie- ren. In erster Linie sind dies Daten, welche die Gesundheit oder berufliche Verhält- nisse oder Geschäftsgeheimnisse betreffen. Daher kommt Art. 86a Abs. 1 lit. e BVG u nserer Schlussfolgerung nach nur dann zur Anwendung, wenn eine Behörde ein Auskunftsbegehren an eine Personalfürsorgestiftung im Rahmen der Amtshilfe stellt. Bei Rentenbescheinigungen, die aufgrund einer gesetzlich festgelegten Meldepflicht einzureichen sind, muss die Veranlagungsbehörde kein Auskunftsbegehren stellen. Die Pensionskasse hat keine Auskunftspflicht, sondern unterliegt einer speziellen Be- scheinigungspflicht, wonach sie der Veranlagungsbehörde die Bescheinigungen un- aufgefordert zuzusenden hat. Wir kamen zum Ergebnis, dass die Veranlagungsbehörde weder Art. 17 noch Art. 19 DSG verletzt, da sie aufgrund von Art. 172 Abs. 1 lit. b StG, Art. 129 Abs. 1 DBG sowie Art. 81 Abs. 3 BVG und Art. 8 BVV3 rechtmässig Steuerdaten beschafft. Auch unterliegt die Pensionskasse gemäss Art. 172 Abs. 1 lit. b StG und Art. 129 Abs. 1 lit. b DBG keiner Auskunftspflicht, sondern einer Meldepflicht, weshalb in diesem Zu- sammenhang weder Art. 86a Abs. 1 lit. e BVG noch Art. 19 Abs. 4 DSG zur Anwendung kommen. Die Pensionskasse verletzt daher die Schweigepflicht bei der Bekanntgabe der Rentenbescheinigungen nicht.
29 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.2.7 Weitergabe von Personendaten durch Bundesbehörden an Dritte Eine Bundesbehörde darf auf Anfrage Personendaten an Dritte bekannt geben, wenn dafür eine Rechtsgrundlage besteht. Ohne Rechtsgrund- lage kann die Behörde auf Anfrage auch Name, Vorname und Geburts- datum einer Person bekannt geben, wobei sie je nach Zusammenhang oder Person allfälligen Schutzbedürfnissen Rechnung zu tragen hat. Bundesbehörden haben uns angefragt, ob sie Personendaten auch ohne Einwilligung der betroffenen Person Dritten bekannt geben dürfen. Nach Art. 19 Abs. 1 DSG dürfen Bundesorgane Personendaten bekannt geben, wenn d afür eine Rechtsgrundlage im Sinne von Art. 17 DSG besteht oder – namentlich – wenn die betroffene Person im Einzelfall eingewilligt hat der Empfänger gl aub- haft macht, dass die betroffene Person die Einwilligung verweigert oder Bekanntgabe sperrt, um die Durchsetzung von Rechtsansprüchen oder die Wahrnehmung anderer schutzwürdiger Interessen zu verwehren (beispielsweise um der Zahlung von Schul- den zu entgehen). Dabei muss der betroffenen Person vorher wenn möglich Gele- genheit zur Stellungnahme gegeben werden. Wir haben mitgeteilt, dass es sich bei der erwähnten gesetzlichen Vorschrift um eine Kann-Vorschrift handelt, weshalb das Bundesorgan nicht zur Bekanntgabe verpflichtet ist. Die betroffene Person ist vorher grundsätzlich anzuhören. Ein Bundesorgan kann zudem nach Art. 19 Abs. 2 DSG Name, Adresse und Geburtsda- tum einer Person auch dann bekannt geben, wenn die Voraussetzungen nach Art. 19 Abs. 1 DSG nicht vorhanden sind. Demzufolge können diese Daten ohne Einwilligung und ohne Anhörung bekannt gegeben werden. Auch diese Vorschrift ist eine Kann- Vorschrift, welche das Bundesorgan nicht zur Auskunft verpflichtet. Je nach Zusammenhang oder Person kann aber auch die Bekanntgabe von Name, Adresse oder Geburtsdatum zu einer Verletzung der Persönlichkeits- und Grundrechte führen. Deshalb müssen Bundesorgane bei der Datenbekanntgabe nach Art. 19 Abs. 2 DSG allfälligen Schutzbedürfnissen Rechnung tragen.
30 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.2.8 Publikation von Fahndungs- und Vermisstmeldungen auf privaten Webseiten Die Publikation von polizeilichen Fahndungsmeldungen im Internet rechtfertigt sich durch das öffentliche Interesse an der raschen Ergrei- fung der Person sowie der Verhinderung von Delikten. Nach einer ge- wissen Zeit – spätestens nach der Verhaftung bzw. dem Auffi nden der gesuchten Person – entfällt jedoch diese Rechtfertigung und die ent- sprechenden Personendaten sind vom Netz zu nehmen. Von dritter Seite sind wir auf eine Webseite aufmerksam gemacht worden, die unter anderem polizeiliche Fahndungsmeldungen, Berichte über Delikte und Vermisstmel- dungen publiziert. Dabei werden Personendaten von Verdächtigen, von Tätern und auch von Opfern veröffentlicht. Die Texte sind teilweise mehrere Jahre alt. Das Publizieren von Personendaten im Internet stellt eine Datenbearbeitung im Sinne des Bundesgesetzes über den Datenschutz dar, wofür eine private Person einen Rechtfertigungsgrund benötigt. Die Rechtfertigung kann durch Einwilligung der be- troffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch eine gesetzliche Grundlage erfolgen. Die Publikation einer polizeilichen Fahndungsmeldung im Internet rechtfertigt sich durch ein überwiegendes öffentliches Interesse (Ergreifung der Person, Verhinderung weiterer Delikte etc.). Zudem bestehen auf kantonaler Ebene gesetzliche Grundlagen, welche eine solche öffentliche Ausschreibung grundsätzlich legitimieren. Diese Publi- kationen liegen nämlich im Kompetenzbereich der kantonalen Datenschutzaufsichts- behörden. Das öffentliche Interesse an einer solchen Publikation erlischt allerdings spätestens dann, wenn die gesuchte Person aufgefunden wurde. So war denn auch für die mei- sten der auf der betreffenden Webseite publizierten Dokumente keine Rechtfertigung mehr ersichtlich, es sei denn, die betroffenen Personen hätten eingewilligt, wovon aber nicht auszugehen ist. Von der Veröffentlichung betroffene Personen können vom Betreiber der Webseite verlangen, dass ihre Daten gesperrt werden. Diese Forderung lässt sich auch zivil- rechtlich durchsetzen. Die Betroffenen können darüber hinaus Schadenersatz für eine erfolgte Persönlichkeitsverletzung verlangen. Wir haben den Betreiber der Internetseite gebeten, diejenigen Personendaten, für die kein Rechtfertigungsgrund (mehr) vorliegt, umgehend unzugänglich zu machen.
31 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.2.9 Weitergabe von Unterschriftenbögen durch die Unabhängige Beschwerdeinstanz Die unabhängige Beschwerdeinstanz für Radio und Fernsehen (UBI) leitet bei einer Popularbeschwerde die Unterschriftenliste unaufge- fordert an den Programmverantwortlichen weiter. Obwohl wir fest- gestellt haben, dass im konkret unterbreiteten Fall das DSG nicht gilt, spielen datenschutzrechtliche Fragen durchaus eine Rolle. Wir haben der UBI mitgeteilt, dass für die unaufgeforderte Bekanntgabe der Unter- schriftenliste eine gesetzliche Grundlage fehlt. Weiter haben wir darauf hingewiesen, dass es Aufgabe des Gesetzgebers wäre, beispielsweise im Rahmen einer allfälligen Revision das Bundesgesetz über Radio und Fernsehen entsprechend anzupassen. Eine Person hat bei der unabhängigen Beschwerdeinstanz für Radio oder Fernsehen (UBI) eine Popularbeschwerde eingereicht. Eine solche muss u.a. zusammen mit einer Liste mit der Unterschrift von zwanzig Personen eingereicht werden. Die UBI hat Be- schwerde und Liste an den Programmverantwortlichen weitergeleitet. Zu prüfen war, ob diese Weitergabe der Unterschriftenliste das Datenschutzgesetz verletzt hat. Wir haben die UBI, die bereits das Bundesamt für Justiz (BJ) um eine Kurz- analyse in dieser Frage gebeten hatte, zu einer Stellungnahme eingeladen. Das BJ verneinte die Anwendung des Datenschutzgesetzes im konkreten Fall, weil es sich ei- nerseits um ein hängiges und andererseits um kein erstinstanzliches Verfahren handle. Diese Auffassung teilten auch wir. Gleichzeitig bedeutet das aber nicht, dass daten- schutzrechtliche Fragen keine Rolle spielen. Wie unsere Abklärungen ergeben haben, leitet die UBI praxisgemäss die Unterschriften- liste zusammen mit der Kopie der Beschwerde an die Programmverantwortlichen weiter. Damit gibt sie Personendaten bekannt. Als Bundesorgan darf die UBI dies nur tun, wenn eine gesetzliche Grundlage vorhanden ist, es sei denn, gesetzliche Aus- nahmebestimmungen wären anwendbar. Im Bundesgesetz über Radio und Fernsehen (RTVG) gibt es keine gesetzliche Grundlage für die Weiterleitung der Unterschriftenliste. Wir haben der UBI mitgeteilt, dass die gegenwärtige Praxis der unaufgeforderten Wei- tergabe der Unterschriftenliste nicht dem Datenschutz entspricht. Es wäre Aufgabe des Gesetzgebers, das RTVG beispielsweise im Rahmen einer allfälligen Revision dies- bezüglich anzupassen.
32 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Ergänzend führten wir aus, dass wir für die aufgeforderte Bekanntgabe der Personen- daten im Rahmen des Akteneinsichtsrechts eine gesetzliche Grundlage sehen. In der Frage, ob das Akteneinsichtsrecht nach Art. 27 Abs. 1 lit. b des Bundesgesetzes über das Verwaltungsverfahren (VwVG) zu verweigern ist oder nicht, wäre im Einzelfall vor der Bekanntgabe eine Interessenabwägung vorzunehmen. Die Überprüfung der Frage, ob und unter welchen Umständen das Akteneinsichtsrecht zu verweigern ist, obliegt jedoch den Gerichten. 1.2.10 Bearbeitungsregelement: Kontrollverfahren Bearbeitungsreglemente sind gemäss den Vorgaben zu erstellen und nachzuführen. Darin sind unter anderem auch die Kontrollverfahren aufzuführen. Angaben dazu fehlen jedoch in den meisten Reglementen. Audits sollten aber insbesondere bei sensitiven Systemen regelmässig durchgeführt werden. Leider müssen wir nach wie vor feststellen, dass Bearbeitungsreglemente in vielen Fäl len nicht entsprechend den Vorgaben geführt werden. In einigen Fällen fanden wir heraus, dass die Reglemente anfangs recht gut waren, in der Folge aber nicht mehr nachgeführt wurden. Häufig konnten wir aufgrund des Bearbeitungsreglements auch feststellen, dass namentlich während des Betriebs der Datensammlungen keine internen oder externen Kontrollen durchgeführt wurden. Dies ist bedauerlich, weil gerade in der Betriebsphase wichtige Erkenntnisse gewonnen werden können, um das System u. a. auch im Bereich des Datenschutzes zu optimieren. Regelmässige Überprüfungen oder Audits sind daher sehr wichtig, weil sie dem Inhaber der Da- tensammlung wichtige neue Erkenntnisse bringen, aufgrund derer er entsprechende Entscheidungen fällen kann. Das Bearbeitungsreglement soll für Transparenz sorgen. Erst aufgrund transparenter Informationen ist es möglich, die Systeme entsprechend zu steuern. Eine Auflistung der Anforderungen an ein Bearbeitungsreglement ist auf unserer Web- s eite zu finden: www.derbeauftragte.ch, Dokumentation – Datenschutz – Leitfäden – Technische und organisatorische Massnahmen, rechte Spalte unter «Weitere Infor- mationen».
33 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.3 Internet und Telekommunikation 1.3.1 Internet-Tauschbörsen: Klage beim Bundesverwaltungsgericht Wir haben unsere Empfehlung an ein im Bereich der Bekämpfung von Urheberrechts- verletzungen in Internet-Tauschbörsen (Peer-to-Peer-Netzwerke) tätiges Unterneh- men dem Bundesverwaltungsgericht (BVGer) zum Entscheid vorgelegt (vgl. unseren 15. Tätigkeitsbericht 2007/2008, Ziff. 1.3.1). Nach zwei Schriftwechseln erwarten wir nun den Entscheid des BVGer. 1.3.2 Jugendschutz im Internet Minderjährige können ohne die Zustimmung ihrer gesetzlichen Vertre- ter keine Datenschutzerklärung abgeben. Dies kann die Betreiber von Internetseiten vor Probleme stellen, insbesondere, wenn sich Jugend- liche auf einer Webseite (beispielsweise für ein Gewinnspiel) registrie- ren. Von einer impliziten Einwilligung der Eltern im Rahmen der Inter- netbenutzung auszugehen, kann problematisch sein. Wir schlagen den Betreibern daher vor, von den gesetzlichen Vertretern eine Einwilligung einzuholen. Für Betreiber von Webseiten ist es kaum möglich, in der virtuellen Welt die Identität ihrer Besucher zu überprüfen. Vor allem im Bereich Jugendschutz kann dies zu erheb- lichen Problemen führen. Insbesondere den Betreibern von Webseiten für Kinder und Jugendliche, die eine Registrierung vorsehen, stellt sich die Frage, wie die Zustimmung der gesetzlichen Vertreter eingeholt werden kann. Im Rahmen einer Beratung haben wir uns also mit der Frage beschäftigt, unter welchen Umständen eine rechtsgültige Zustimmung in die Datenbearbeitung minderjähriger Personen im Alter zwischen 12 und 16 Jahren zustande kommen kann. Gemäss dem Bundesgesetz über den Datenschutz müssen betroffene Personen, so- weit es für die Bearbeitung ihrer Personendaten notwendig ist, in eine solche einwilli- gen. Ein Webseitenbetreiber kann die Registrierung seiner Besucher vorsehen, damit diese beispielsweise einem sozialen Netzwerk beitreten oder an einem Gewinnspiel teilnehmen können. Für die Bearbeitung der Personendaten benötigt er jedoch eine Einwilligung (solange er sich nicht auf eine gesetzliche Grundlage oder ein über- wiegendes privates oder öffentliches Interesse berufen kann). In der Regel ist dies unproblematisch, da sich Personen auf eigenen Namen registrieren und somit (bei
34 16. Tätigkeitsbericht 2008/ 2009 des EDÖB ausreichender vorgängiger Information) zumindest von einer impliziten Zustimmung ausgegangen werden kann. Richtet sich allerdings eine Webseite an minderjährige Personen, stellt sich die Frage, ob und inwieweit diese eine rechtsgültige Einwilli- gungserklärung abgeben können. Eine Zustimmung kann grundsätzlich nur zustande kommen, wenn die zustimmende Person handlungsfähig, das heisst mündig und urteilsfähig ist. Nach dem Schweize- rischen Zivilgesetzbuch ist dies bei einer natürlichen Person erst mit vollendetem 18. Lebensjahr der Fall. Davor benötigt sie für Verpflichtungsgeschäfte (also alle Rechts- handlungen, welche eine Belastung oder einen Verzicht auf Rechte beinhalten) die Zustimmung ihres gesetzlichen Vertreters. Dabei spielt der Schutz des Unmündigen eine zentrale Rolle. Der gesetzliche Vertreter kann aber eine generelle Zustimmung für eine ganze Reihe von Verpflichtungsgeschäften erteilen, sofern diese überblickbar und in ihren potentiellen Auswirkungen berechenbar bleiben. Er muss also nicht in jedes einzelne Rechtsgeschäft einwilligen, das sein Mündel abschliesst. Es ist fraglich, ob eine durch die gesetzlichen Vertreter erteilte Erlaubnis zur Internet- nutzung als Rahmen ausreicht, um damit eine implizierte rechtsgültige Einwilligung zur Bearbeitung derjenigen personenbezogenen Daten anzunehmen, welche die Min- derjährigen im Internet freiwillig offenbaren. Für die Altersklasse zwischen 12 und 16 Jahren ist dies aus unserer Sicht zu verneinen. Da der Datenschutz die Wahrung der Persönlichkeitsrechte zum Ziel hat, können nach Ansicht des EDÖB die Befugnisse urteilsfähiger Unmündiger im Umgang mit den ihnen zur freien Verfügung stehenden Vermögenswerten (Taschengeld) nicht angewendet werden. Wenn sich Minderjährige auf einer Webseite registrieren und dabei eine Datenschutzerklärung abgeben, ist un- serer Meinung nach die Zustimmung der gesetzlichen Vertreter erforderlich. Werden Eltern unverhofft vom Betreiber einer Webplattform brieflich aufgefordert, ihre Zustimmung für die Nutzung der Plattform abzugeben, kann dies zu Irritationen führen. Daher raten wir zu folgendem Vorgehen: Betreiber einer Webplattform sollten nach vorgängiger Information in einem er sten Schritt grundsätzlich nur die Adresse des Minderjährigen erfragen, aufgrund welcher sie dann die Eltern anschreiben können. Dabei sollten die Jugendlichen bestätigen, dass sie die Eltern um Zustimmung gefragt haben. Der Betreiber seinerseits müsste die minderjährigen User darauf aufmerksam machen, dass die Eltern in den nächsten Tagen diese Zustimmung per Post schriftlich zu bestätigen haben. Dies soll beim Min- derjährigen bewirken, dass er bereits vor oder während seiner Eingabe seine Eltern um ihre Zustimmung bittet. Somit sind diese informiert und werden nicht von der Post überrascht. Stimmen die Eltern zu, darf die Nutzung freigeschaltet werden. Stimmen sie nicht innerhalb nützlicher Frist zu, sind sämtliche eingegebenen Daten zu löschen.
Die positiven Bewertungen und Kommentare können insofern aufbewahrt werden, als sie Praktiker des Gesundheitswesens betreffen, die sich nach Er- halt eines Informationsschreibens nicht gegen die fragliche Datenbearbeitung ausgesprochen haben (stillschweigendes Einverständnis).
36 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Bonus.ch hat diese Punkte unter dem Titel «Stillschweigendes Einverständnis und Widerspruchsrecht» in einem Abschnitt des an die Ärzte gerichteten Informations- schreibens aufgeführt. Der Versand des Informationsschreibens von Bonus.ch an alle Praktiker des Gesundheitswesens fällt in den Rahmen der Nachkontrolle der Umset- zung unserer Empfehlungen. 1.3.4 Persönlichkeitsschutz bei der Berichterstattung im Internet Ob eine Berichterstattung im Internet die Persönlichkeitsrechte der Be- troffenen verletzt, ist mit einer Verhältnismässigkeitsabwägung zwi- schen dem öffentlichen Interesse an dem Ereignis und dem schützens- werten Interesse an der Privatsphäre der Betroffenen zu beurteilen. Im Vordergrund der Berichterstattung sollte das Ereignis stehen und nicht der einzelne Teilnehmer, an dem kein öffentliches Interesse besteht. Wir erachten es in der Regel als widerrechtliche Persönlichkeitsverlet- zung, wenn Einzelne an den Pranger gestellt werden. Im vergangenen Jahr hatten wir mehrere solche Fälle zu beurteilen, weshalb wir Leitli- nien zur Erleichterung der Verhältnismässigkeitsabwägung erarbeitet haben. Immer häufiger werden auf Webseiten Berichte über Veranstaltungen veröffentlicht, die Teilnehmerinnen und Teilnehmer auf Photos zeigen. Dies reicht von der Bericht- erstattung über kleinere Veranstaltungen im Rahmen eines Vereins bis hin zu Gross- veranstaltungen, über welche in Print- und Digitalmedien berichtet wird. Dabei stellt sich oft die Frage, inwieweit es zulässig ist, einzelne Personen erkennbar darzustel- len, und ab welchem Zeitpunkt dies die Persönlichkeitsrechte verletzt. Dazu bedarf es einer Verhältnismässigkeitsabwägung zwischen dem öffentlichen Interesse an der Berichterstattung und den schützenswürdigen Interessen an der Privatsphäre der Be- tr offenen. Im vergangenen Jahr haben wir Leitlinien erarbeitet, welche eine solche Verhältnismässigkeitsabwägung erleichtern sollen. Grundsätzlich müssen Teilnehmer und Besucher öffentlicher Veranstaltungen damit rechnen, in der einen oder anderen Weise in der Berichterstattung erwähnt bzw. foto- graphisch abgebildet zu werden, da solche Veranstaltungen im öffentlichen Interesse liegen. Allerdings ist nicht jegliche Art von Berichterstattung legitim. So sollten sich Texte und Bilder im Wesentlichen auf die im öffentlichen Interesse liegenden Aspekte (Veranstaltung selbst, besondere Vorkommnisse, etc.) beschränken und die Persön- lichkeit der anwesenden Personen möglichst gut schonen. Darauf gilt es bei der Text- redaktion und der Auswahl der Bilder zu achten. Relativ unproblematisch sind Berichte
37 16. Tätigkeitsbericht 2008/ 2009 des EDÖB über Personen des öffentlichen Lebens sowie solche, die im Wesentlichen den Cha- rakter der Veranstaltung darstellen. Konzentrieren sich die Informationen hingegen auf einzelne Personen, die sich im Rahmen der Veranstaltung weder besonders exponiert noch einer solchen Berichterstattung zugestimmt haben, ist das in der Regel unzuläs- sig. Werden zudem einzelne Personen oder Personengruppen (womöglich noch mit Namen) an den Pranger gestellt, so liegt meist eine unzulässige Persönlichkeitsverlet- zung vor. Zahlreiche Veranstalter informieren die Teilnehmer auf ihren Webseiten darüber, dass solche Berichterstattungen möglich sind und personenbezogene Daten an Dritte weitergegeben w erden. Wir haben festgestellt, dass sich einige Veranstalter, insbe- sondere im Rahmen des Sponsorings, sehr allgemein formulierte und weit reichende Nutzungsrechte der Personendaten der Teilnehmer einräumen lassen. Das erreichen sie mit entsprechenden und bei der Anmeldung obligatorischen Einwilligungsklauseln. Eine solche Vorgehensweise erachten wir als unzulässig; insgesamt ist die Tragweite der Datenbearbeitung in einem solchen Fall für den Betroffenen nicht mehr transpa- rent, er daher auch nicht angemessen informiert. Zudem kann man nicht in jedem Fall die Einwilligung in solche Klauseln verlangen. Insbesondere ist dies im Rahmen des Marketings nicht möglich (vgl. dazu auch Ziff. 1.8.5). I n manchen Fällen werden allerdings auch einzelne Besucher einer Veranstaltung (oft ohne deren Wissen) porträtiert und ihre Personendaten im Internet veröffentlicht. Wenn kein überwiegendes öffentliches Interesse an der personenbezogenen Darstel- lung eines Betroffenen besteht, ist dies eine widerrechtliche Persönlichkeitsverlet- zung, da die Betroffenen nicht mit einer solchen Berichterstattung rechnen müssen. Die Datenbearbeitung ist für sie nicht erkennbar, und es kann nicht von einer impli- ziten Zustimmung ausgegangen werden. So wurden beispielsweise im Rahmen der Berichterstattung über das Sempacher Volksfest auf der Webseite www.indymedia.ch einzelne Teilnehmer, welche dem rechtsextremen Lager angehören sollen, von meist anonymen Autoren porträtiert und auf diese Weise an den Pranger gestellt. Da die anonyme Berichterstattung in einigen Fällen eine freie Meinungsäusserung erst ermöglicht und damit einen wichtigen Bestandteil der Pressefreiheit darstellt, muss sie unserer Meinung nach grundsätzlich möglich bleiben. Journalisten und Berichterstat- ter sollten aber auf Persönlichkeitsverletzungen verzichten. Ein weiteres Problem stellt das Hosting der Internetseiten im (nicht europäischen) Aus- land dar, weil den betroffenen Personen kein effektiver Rechtsweg offen steht. Einmal mehr machen wir auf die Schwierigkeiten aufmerksam, einen effektiven Datenschutz in einem weltumspannenden Medium wie dem Internet durchzusetzen. Wir fordern daher allgemeine internationale Regelungen zur Verbesserung des Datenschutzes.
38 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.3.5 Auswertungstools für Webseiten Im Auftrag der Bundesverwaltung und aufgrund verschiedener Bürge- ranfragen haben wir die datenschutzrechtlichen Aspekte von Auswer- t ungstools für Webseiten analysiert. Beim Einsatz von Auswertungs- too ls zur Erstellung von Zugriffsstatistiken von Webseiten sind aus unserer Sicht verschiedene Voraussetzungen zu erfüllen. Insbesonde- re sind die Nutzer in einer Datenschutzerklärung darauf hinzuweisen, welche Daten über sie gesammelt und an wen sie weitergegeben wer- den (inklusive Angabe des Landes). Werden die Daten in ein Land wei- tergegeben, welches über kein angemessenes Datenschutzniveau ver- fügt, sind zusätzlich mit dem Anbieter des Auswertungstools Garantien zu vereinbaren, die ein ausreichendes Schutzniveau gewährleisten. I m letzten Jahr sind immer mehr Webseitenbetreiber dazu übergegangen, ihre Web- statistiken nicht mehr selbst über entsprechende auf den Servern installierte Pro- gramme zu erstellen. Stattdessen lassen sie die Besuche auf ihren Webseiten durch Onlinetools (wie z.B. Google Analytics) auswerten. Da IP-Adressen als personenbezo- gene Daten betrachtet werden müssen, ist das Bundesgesetz über den Datenschutz (DSG) anwendbar. Um also solche Auswertungstools datenschutzrechtskonform ein- zusetzen, müssen Betreiber einer Webseite insbesondere die nachfolgend beschrie- benen Punkte beachten. Das Online-Auswertungstool wird mittels eines speziellen Bildelements sowie eines Skripts des Anbieters in der Webseite des Betreibers integriert. So erfasst der Anbieter des Auswertungstools die Zugriffe auf die Webseite, da beim Abruf des Bildelements die IP-Adresse der zugreifenden Nutzer von seinen Servern registriert wird. Es werden also die Randdaten des Internetnutzers, welche beim Besuch der Webseite anfallen, an den Anbieter des Auswertungstools weitergeleitet. Dieser Vorgang ist aus daten- schutzrechtlicher Sicht als Datenbearbeitung durch Dritte zu qualifizieren. Eine solche ist gemäss Art. 10a DSG durch Vereinbarung möglich, wenn der Anbieter des Tools die Daten nur so bearbeitet, wie es der Betreiber der Webseite selbst tun dürfte, und keine gesetzliche oder vertragliche Geheimhaltungspflicht sie verbietet. Aus diesem Grund muss der Betreiber einer Webseite den Anbieter des Auswertungs- tools vertr aglich dazu verpflichten, die gelieferten Daten ausschliesslich zu den Aus- wertungszwecken des Betreibers (und nicht zu eigenen Zwecken) zu nutzen und die Datensicherheit zu gewährleisten. Zudem muss der Betreiber der Webseite aufgrund des Erkennbarkeitsprinzips die Nutzer im Rahmen einer Datenschutzerklärung auf die Verwendung eines solchen Tools sowie Art und Umfang der gesammelten Daten hinweisen.
39 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Befinden sich die Server des Anbieters des Auswertungstools im Ausland, sind da- rüber hinaus die datenschutzrechtlichen Regelungen zum grenzüberschreitenden Datentransfer zu beachten. Personendaten dürfen nämlich nicht ins Ausland be- kannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz garantiert (eine Auflistung der einzelnen Länder und ihres Da- tenschutzniveaus kann auf unserer Webseite www.derbeauftragte.ch unter Themen – Datenschutz – Übermittlung ins Ausland abgerufen werden). In diesem Fall darf ein solches Auswertungstool nur dann genutzt werden, wenn der Anbieter durch hinrei- chende Garantien einen angemessenen Schutz gewährleistet (Art. 6 Abs. 2 lit. a DSG). Dies erfolgt in der Praxis meist durch eine entsprechende schriftliche Bestätigung des Anbieters. Seit Januar 2009 steht beim Datentransfer in die USA zusätzlich das «U.S.-Swiss Safe Harbor Framework» als Instrument zur Gewährleistung eines ausrei- chenden Schutzniveaus zur Verfügung (siehe dazu Ziff. 1.1.6). Solange der Betreiber einer Webseite diese Punkte beachtet, steht der Nutzung eines solchen Auswertungstools aus datenschutzrechtlicher Sicht nichts entgegen. Grund- sä tzlich sollten Betreiber einer Webseite allerdings evaluieren, inwieweit es für sie wünschenswert ist, Personendaten ihrer Webseitenbesucher ins Ausland zu übertra- gen. Ausländische Behörden könnten nämlich aufgrund ihrer nationalen Gesetzge- bungen auf die sich in ihrem Land befindlichen Daten zugreifen. 1.3.6 Erläuterungen zu sozialen Netzwerken Social Network Sites (SNS) liegen im Trend und die Zahl der Nutzerinnen und Nutzer steigt täglich an. Längst tauschen sie über soziale Netzwerke allerlei persönliche In- formationen aus und erstellen so von sich selbst nicht selten ein Persönlichkeitsprofil, welches sie anderen Nutzern zur Verfügung stellen. Dabei werden oft die Risiken von sozialen Netzwerken übersehen. Wir haben diese Entwicklung zum Anlass genom- men, diese Risiken näher unter die Lupe zu nehmen und Nutzern von SNS Tipps zum Umgang mit ihren Personendaten zu geben. Die Erläuterungen zu sozialen Netzwer- ken befinden sich im Anhang Ziff. 4.1.1 und können auf unserer Webseite www.derbe- auftragte.ch, Themen – Datenschutz – Internet, abgerufen werden. 1.3.7 Erläuterungen zu Bewertungsplattformen im Internet Bewertungen von verschiedenen Berufsgruppen im Internet (Ärzte, Professoren, Leh- rer etc.) haben in letzter Zeit stark an Popularität gewonnen. Da eine online Bewertung die Persönlichkeit der bewerteten Person tangieren kann, haben wir uns entschlossen,
40 16. Tätigkeitsbericht 2008/ 2009 des EDÖB verschiedene Bewertungsseiten zu analysieren. Aus den gewonnenen Erkenntnissen haben wir Grundsätze für die Ausgestaltung und Nutzung von Bewertungswebseiten erarbeitet mit dem Ziel, den Benutzern, Entwicklern und Betroffenen solcher Seiten nützliche Ratschläge zu erteilen. Der Bericht befindet sich im Anhang Ziff. 4.1.2 und kann auf unserer Webseite www.derbeauftragte.ch, Themen – Datenschutz – Internet, abgerufen werden. 1.3.8 Erläuterungen zum Digitalen Fernsehen, zu ITV und IPTV Sowohl im Internet als auch über Breitbandverbindungen steigt das Angebot an digi- talen Filmen stetig an. Während bei der traditionellen terrestrischen Ausstrahlung von Programmen ein anonymer Konsum von Fernsehsendungen und Filmen möglich war, steht beim Digitalen Fernsehen bzw. IPTV ein breitbandiger Rückkanal zur Verfügung, über welchen sich theoretisch die Konsumgewohnheiten der Fernsehzuschauer er- mitteln lassen. Diese neuen Technologien sind insbesondere für die Werbung sehr interessant, die sich auf diese Art personalisieren lässt. Wir haben in unseren Erläu- terungen zum Thema Digitales Fernsehen die Risiken und Gefahren analysiert und geben Anbietern und betroffenen Konsumenten Tipps zum Umgang mit dem digitalen Medium. Der vollständige Bericht befindet sich im Anhang Ziff. 4.1.3 und kann auf unserer Webseite www.derbeauftragte.ch, Themen – Datenschutz – Sonstige Themen, abgerufen werden. 1.3.9 Erläuterungen zu Pay as You Drive und dem Einsatz von Black Boxen in Motorfahrzeugen Risikominimierung und Gefahrenverhütung sind wichtige Anliegen von KFZ-Versiche- rungen. Seit dem letzten Jahr bietet in der Schweiz eine Versicherung einen Vertrag speziell für Junglenker an. Mit dem Einbau einer Black-Box, welche Daten über die Fahrzeugbewegungen kurz vor und nach einem Unfall aufzeichnet, erhalten sie einen erheblichen Prämienrabatt von bis zu 30%. Theoretisch ist es denkbar, mit den heute zur Verfügung stehenden Technologien das gesamte Fahrverhalten von Strassenver- kehrsteilnehmern aufzuzeichnen und damit auch zu überwachen. Aus diesem Grund haben wir das Thema Pay as You Drive aus datenschutzrechtlicher Sicht analysiert. Der ausführliche Bericht zu dem Thema befindet sich im Anhang Ziff. 4.1.4 und kann auf unserer Webseite www.derbeauftragte.ch, Themen – Datenschutz – Versicherungen, abgerufen werden.
41 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.4 Justiz/Polizei/Sicherheit 1.4.1 Umsetzung Schengen Die Berichte über die Umsetzung von Schengen und unsere damit verbundenen Tätig- keiten befinden sich in Ziffer 1.9. 1.4.2 Inkrafttreten des Bundesgesetzes über die polizeilichen Informationssysteme des Bundes Das Bundesgesetz über die polizeilichen Informationssysteme des Bundes vereint in einem Regelwerk die Rechtsgrundlagen für einen grossen Teil der auf Bundesebene geführten polizeilichen Datensamm- lungen. Sämtliche Auskunftsgesuche zu diesen Datensammlungen sind direkt an das Bundesamt für Polizei zu richten. Das Bundesgesetz über die polizeilichen Informationssysteme des Bundes (BPI) ist am 5. Dezember 2008 in Kraft getreten. Dieses Gesetz gilt für die vom Bund geführten polizeilichen Datensammlungen. Ausnahmen sind die Datensammlungen GEWA der Meldestelle für Geldwäscherei, ISIS des Dienstes für Analyse und Prävention (seit dem
42 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.4.3 Augenscheine beim Pilotbetrieb des Nationalen Polizeiindexes Die durchgeführten Augenscheine und die uns vom Bundesamt für Poli- zei zur Verfügung gestellte Dokumentation erlaubten uns die Feststel- lung, dass der Pilotbetrieb des Nationalen Polizeiindexes die Anforde- rungen des Bundesgesetzes über den Datenschutz und der Verordnung über den Pilotbetrieb des Nationalen Polizeiindexes einhält. In Zusammenarbeit mit dem Bundesamt für Polizei (fedpol) haben wir im Februar 2008 Augenscheine bei der für den Pilotbetrieb des Nationalen Polizeiindexes verantwort- lichen Abteilung des fedpol, bei der Einsatzzentrale fedpol, dem Lage- und Nachrich- tenzentrum des Grenzwachtkorps in Bern und beim Kommando der Kantonspolizei Bern durchgeführt. Letzterer erfolgte in Zusammenarbeit mit dem Datenschutzbeauf- tragten des Kantons Bern. Bei den Augenscheinen ging es hauptsächlich darum, die Einhaltung des Bundesgesetzes über den Datenschutz und der Verordnung über den Pilotbetrieb des Nationalen Polizeiindexes zu überprüfen. Im Rahmen dieser Augen- scheine haben wir namentlich die bearbeiteten Daten, den Zugang zum Index und die Datensicherheit analysiert. Bezüglich der Bearbeitung der Personendaten hat uns fedpol bestätigt, dass die Kate- gorien «AFIS DNA» und «INTERPOL» des informatisierten Personennachweis-, Akten- nachweis- und Verwaltungssystems im Bundesamt für Polizei (Datensammlung IPAS) und das Informationssystem der Bundeskriminalpolizei (Datensammlung JANUS) im Rahmen des Pilotbetriebs dem Index angeschlossen seien. Wie die Augenscheine zeigten, hatten die Nutzer Zugriff auf die in der Verordnung über den Pilotbetrieb des Nationalen Polizeiindexes vorgesehenen Daten. Dies beinhaltet Angaben zur Identifi- zierung der Person, Datum und Grund des Eintrags, wenn eine Person erkennungs- dienstlich behandelt worden ist, den Namen der Behörde, bei der um weitere Infor- mationen über die Person ersucht werden kann, und des Informationssystems, aus welchem die Daten stammen. Im Rahmen des Pilotbetriebs des Nationalen Polizeiindexes wurden rund 500 indi- viduelle Zugriffsbewilligungen an Nutzer beim Bund (rund 300 Zugriffe) und bei den Kantonen (rund 200 Zugriffe) bewilligt. Diese Zahl scheint, in Anbetracht der Gesamt- Benutzerzahl des Nationalen Polizeiindexes (rund 5’000 für die Bundesverwaltung, die Kantone und die Gemeinden), angemessen. Im Bereich der Datensicherheit ist der Zugriff auf den Index durch verschiedene Si- c herheitsmassnahmen geschützt. Sämtliche Datenübertragungen werden chiffriert und alle Aktivitäten protokolliert.
43 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Abschliessend konnten wir aufgrund der durchgeführten Augenscheine und der vor- gelegten Dokumentation feststellen, dass der Pilotbetrieb des Nationalen Poliz eiin- dexes den Anforderungen des Bundesgesetzes über den Datenschutz und der Verord- nung über den Pilotbetrieb des Nationalen Polizeiindexes entspricht. 1.4.4 Auskunftsgesuche betreffend das Informationssystem ISIS Die Anzahl der Auskunftsgesuche betreffend das Informationssystem ISIS ist 2008 rasant angestiegen. Zum ersten Mal konnten wir zudem einzelne Gesuchsteller angemessen über das Vorhandensein von Ein- trägen informieren. Es wäre wünschenswert, wenn betreffend ISIS, wie neu für JANUS und GEWA, ein direktes Auskunftsrecht eingeführt wer- den könnte. Die Anzahl der so genannten indirekten Auskunftsgesuche für die Datenbank ISIS (in- nere Sicherheit) hat 2008 enorm zugenommen. So sind insgesamt 148 Auskunftsge- suche für ISIS bei uns eingetroffen, gegenüber 19 im Vorjahr. Dieser rasante Anstieg beruht hauptsächlich auf zwei Gründen. So kam es zum ersten Mal vor, dass wir bei in ISIS eingetragenen Personen von der gesetzlichen Ausnahmeregelung Gebrauch machten und sie angemessen über ihre Einträge informierten. In der Tat sieht das entsprechende Gesetz vor, dass wir grund- sätzlich nur eine nichtssagende und stets gleichlautende Mitteilung verschicken. Auf- grund dieser Mitteilung weiss die betroffene Person nicht, ob über sie Einträge in ISIS vorliegen oder nicht. Sie erhält nur die Gewissheit, dass der EDÖB das Gesuch über- prüft und bei allfälligen Unrechtmässigkeiten gegenüber dem Amt eine Empfehlung zu deren Korrektur erlassen hat. Die erwähnte gesetzlich vorgesehene Ausnahme, die eine weitergehende Information erlaubt, ist sehr eng auszulegen und im Einzelfall zu überprüfen. In den genannten Fällen ging es unter anderem um mehrere Gesuchstel- ler, die gleichzeitig ihr Auskunftsrecht für ISIS geltend machten. Alle Gesuchsteller ver- muteten aufgrund bestimmter vorgefallener Tatsachen, in der Datenbank eingetragen zu sein. Unsere Überprüfungen ergaben, dass die von den Gesuchstellern darlegten Tatsachen zu keinen Einträgen in ISIS geführt hatten. Allerdings waren einige der Be- troffenen aus anderen Gründen eingetragen. Nach Prüfung der einzelnen Gesuche kamen wir zum Schluss, dass die Voraussetzungen der Ausnahmebestimmung im BWIS (erheblicher nicht wieder gut zu machender Schaden der gesuchstellenden Per- son und keine Gefährdung der inneren und äusseren Sicherheit) in allen Fällen erfüllt waren. Folglich informierten wir die Gesuchsteller angemessen. Sie machten diese Informationen teilweise publik und forderten weitere Personen auf, bei uns ebenfalls
44 16. Tätigkeitsbericht 2008/ 2009 des EDÖB ihr Auskunftsrecht für ISIS geltend zu machen. Diesbezüglich ist darauf hinzuweisen, dass wir natürlich jeweils im Einzelfall überprüfen müssen, ob die Voraussetzungen für eine Abweichung von der Standardantwort gegeben sind. Einen weiteren Auslöser von vielen Auskunftsgesuchen in ISIS bildeten sodann die in den Medien veröffentlichten Fälle einzelner Grossratsmitglieder des Kantons Basel- S tadt. Wie dabei publik wurde, habe die Geschäftsprüfungskommission von Basel- Stadt festgestellt, dass Daten über einige Grossratsmitglieder kurdischen Ursprungs an den Dienst für Analyse und Prävention (DAP) im Bundesamt für Polizei geschickt worden seien. Im Zusammenhang mit ISIS sind nun verschiedene Fälle vor dem Bundesverwaltungs- gericht hängig. Für uns ist natürlich von Interesse zu sehen, wie das Gericht entschei- den wird. Der für ISIS verantwortliche DAP ist seit dem 1. Januar 2009 nicht mehr dem Bundes- amt für Polizei, sondern dem Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) angegliedert. Wir gehen davon aus, dass dies an der bisherigen guten Zusammenarbeit nichts ändern wird. Wie in Ziff. 1.4.2 des vorliegenden Tätigkeitsberichts erwähnt, gilt für die Datenbanken JANUS und GEWA neu das direkte Auskunftsrecht. Es wäre begrüssenswert, wenn für ISIS so rasch wie möglich eine analoge Regelung vorgesehen würde. Wir haben uns seit jeher gegen das so genannte indirekte Auskunftsrecht ausgesprochen und halten ein direktes Auskunftsrecht für angebrachter. 1.4.5 Aufnahme biometrischer Daten in Reisedokumente Mehrere Anfragen sind bei uns eingegangen im Zusammenhang mit dem Referendum gegen den Bundesbeschluss vom 13. Juni 2008 über die Genehmigung und die U mset- zung des Notenaustauschs zwischen der Schweiz und der Europäischen Gemeinschaft betreffend die Übernahme der Verordnung (EG) Nr. 2252/2004 über biometrische Päs- se und Reisedokumente (Weiterentwicklung des Schengen-Besitzstands). Wir haben auf unsere Stellungnahme (vgl. unseren 15. Tätigkeitsbericht 2007/2008, Ziff. 1.1.3) ver- wiesen und dabei daran erinnert, dass einerseits die EG-Verordnung keine Aufbewah- rung der biometrischen Daten über die für die Ausstellung der Dokumente notwen- dige Zeit hinaus vorsieht, und dass wir andererseits eine zentralisierte Aufbewahrung der biometrischen Daten in Datensammlungen für Ausweise nicht unterstützen.
45 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.4.6 Verwendung von DNA-Profi len im Strafverfahren und zur Identifi zierung von unbekannten und vermissten Personen Im Rahmen unserer Funktion als Datenschutzaufsichtsbehörde haben wir eine Sachverhaltsabklärung beim Bundesamt für Polizei fedpol durchgeführt . Bei den überprüften Datenbearbeitungen wurde der Da- tenschutz vollumfänglich eingehalten. Im Rahmen der Sachverhaltsabklärung wurden die Koordinationsstelle DNA (Betrei- berin der Datenbank CODIS), die AFIS DNA Services (Betreiber der Datenbank IPAS) sowie die Kommunikationsplattform «Message Handler» überprüft. Wir haben schwer- gewichtig Dokumente über die Datenbearbeitung, die einzelnen Prozesse sowie die entsprechenden Datenflüsse einverlangt und analysiert. Anlässlich eines Augenscheins bei der Koordinationsstelle DNA im Institut für Rechts- medizin an der Universität Zürich-Irchel und bei den AFIS DNA Services beim Bundes- amt für Polizei (fedpol) haben wir uns die Datenbearbeitungen vorführen lassen. Die Sachverhaltsabklärung hat folgendes ergeben: Die Strafverfolgungsbehörden aller Stufen sehen sich mit modernen Kriminalitäts- formen konfrontiert, die sich durch hohe Mobilität, vermehrte Spezialisierung, Team- work und den Einsatz technischer Mittel auszeichnen. Bei der Verfolgung dieser Kri- minalitätsformen sind u.a. die rasche und zweifelsfreie Identifizierung von Tätern bzw. Tätergruppen sowie die Erkennung von kriminellen Aktivitäten und von Tatzusammen- hängen, welche Kantons- und Landesgrenzen überschreiten, von grosser Bedeutung. Dazu gehört die systematische Auswertung jeglicher, auch der biologischen Spuren, so zum Beispiel die Identifikation mittels DNA-Profilen. Am 1. Januar 2005 ist das Bundesgesetz über die Verwendung von DNA-Profilen im Strafverfahren und zur Identifizierung von unbekannten und vermissten Personen in Kraft getreten. Das Gesetz regelt, unter welchen Voraussetzungen DNA-Profile in Straf- verfahren verwendet und in einem Informationssystem des Bundes bearbeitet werden können. Das Gesetz regelt ausserdem die Identifizierung von unbekannten, vermiss- ten oder toten Personen ausserhalb des Strafverfahrens mit Hilfe des Vergleichs von DNA-Profilen. Das DNA-Profil ist die für jedes Individuum spezifische Kombination aus Buchstaben und Zahlen, die mit Hilfe molekularbiologischer Techniken aus den nicht-codierenden Abschnitten der Erbsubstanz DNA gewonnen wird und die eindeutige Identifizierung einer Person erlaubt.
46 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Ausgelöst wird der Prozess für die Identifikation mittels eines DNA-Profils durch die Strafverfolgungs- (kantonale Polizei) oder Strafuntersuchungsbehörde. Sie ist es auch, welche die Vorabklärungen basierend auf Fingerabdrücken vor- und die Wangen- schleimhautabstriche (WSA) abnimmt sowie die Tatortspuren sichert und den Auftrag zur Profilanalyse erteilt. Zu Beginn des Bearbeitungsprozesses wird dem biologischen Material durch die Poli- zei eine Prozess-Kontroll-Nummer (PCN) zugeordnet. Diese eindeutige und einmalige Bezeichnung jedes einzelnen WSA und jeder einzelnen Spur erlaubt eine zweifelfreie Nachverfolgbarkeit von der Materialerfassung bis zur Datenlöschung respektive Ver- nichtung des Materials und die Pseudonymisierung des Ablaufs. Das forensische DNA-Analyselabor empfängt das biologische Material per Post, Kurier oder direkt durch die Polizei. Der Empfang jeder einzelnen Spur und jedes einzelnen WSA wird überprüft und bestätigt. Die für die Spurenverarbeitung notwendigen Fallan- gaben stellt die Polizei dem Labor zur Verfügung. Es erstellt die DNA-Profile der WSA und der Tatortspuren und übermittelt die Profile an die Koordinationsstelle DNA. Das biologische Material wird spätestens nach 3 Monaten vernichtet. Die Koordinationsstelle DNA am Institut für Rechtsmedizin Zürich betreibt im Auftrag des Bundes die DNA-Profildatenbank CODIS (Combined DNA Index System). Sie nimmt die DNA-Profile des Labors oder der Bundeskriminalpolizei (Interpol-Anfragen) entge- gen, speichert sie in CODIS, führt den automatisierten Abgleich mit den bereits vorhan- denen DNA-Profilen durch und wertet das Suchresultat aus. Bei einer Übereinstimmung zwischen einem Personen-Profil und einer Spur von einem Tatort spricht man von einem «Hit». Ein solcher Hit trägt zur Klärung eines oder meh- rerer Fälle bei, in belastendem oder in entlastendem Sinne. Das definitive Suchresultat in Form von Search- und Hit-PCN übergibt die Koordinationsstelle DNA den AFIS DNA Services beim fedpol. Ende 2007 enthielt die Datenbank CODIS 92’912 Personenprofile und 17’346 Tatort- spuren. Daraus erfolgten folgende Hits bzw. Treffer: Person-Spur: 3’210 Hits Person-Person (eineiige Zwillinge): 17 Hits Spur-Spur: 4’809 Hits (diese Hits geben wertvollen Aufschluss über Tatzusammenhänge) Die AFIS DNA Services erhalten das Suchresultat als PCN. Die Ergebnismeldung wird automatisch mit den entsprechenden Personen- und Falldaten in IPAS ergänzt. Die komplette Meldung wird zusammen mit dem Meldungsverteiler durch die AIFS DNA Services kontrolliert, nötigenfalls korrigiert und ergänzt. Anschliessend wird sie dem Meldungsverteiler entsprechend frei geschaltet.
47 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Am Schluss des Abklärungsprozesses kann die Polizei die Meldung einsehen, aus- drucken oder direkt in ihre Rapporte übernehmen. Sie leitet die Informationen bei Bedarf an die betroffenen Justizbehörden weiter. Die Auslösung des Löschauftrages erfolgt durch die Polizei selbständig oder im Auftrag der zuständigen Justizorgane. Die Koordinationsstelle DNA führt die eintreffenden Löschaufträge in CODIS aus. Den sicheren Datentransfer garantiert eine eigens für diesen Zweck erstellte Kommunika- tionsplattform. Die Datenbanken CODIS (DNA-Profil) und IPAS (Personen- und Fall-Daten) sind phy- sisch und organisatorisch getrennt und können nur mittels oben erwähnter PCN bei einem Hit verknüpft werden. Die Koordinationsstelle DNA nimmt zusammen mit den AFIS DNA Services regelmässige Abgleiche zwischen den Datenbanken CODIS und IPAS vor. Im Rahmen unserer Sachverhaltsabklärung haben wir festgestellt, dass bei den über- prüften Bearbeitungen der Datenschutz vollumfänglich eingehalten wird. 1.4.7 Gesichtserkennungssysteme in Sportstadien Wir wurden angefragt, zu zwei Teilaspekten des Projekts «Sicherheit im Sport» Stellung zu nehmen. Dabei handelte es sich vor um allem die Themen «Einsatz von Biometrie resp. von Gesichtserkennungsgeräten bei den Eingängen eines Stadions» und «Verknüpfung von Videoauf- nahmen in den Stadien und Biometrie resp. Gesichtserkennung». Der Einsatz von Gesichtserkennungssystemen in Stadien ist datenschutz- rechtlich zulässig, wenn bestimmte Voraussetzungen eingehalten wer- den. Vertreter von Bund, Kantonen und Sportverbänden setzten sich zu einem «Runden Tisch zur Bekämpfung von Gewalt im und um den Sport» zusammen. In diesem Zu- sammenhang wurden wir von einer Arbeitsgruppe des runden Tischs angefragt, zu zwei Teilaspekten des Projekts «Sicherheit im Sport» Stellung zu nehmen. Dabei han- delte es sich vor allem um die Themen «Einsatz von Biometrie resp. von Gesichtserken- nungsgeräten bei den Eingängen eines Stadions» und «Verknüpfung von Videoaufnah- men in den Stadien und Biometrie resp. Gesichtserkennung». Wir wiesen darauf hin, dass das Bundesgesetz über den Datenschutz gilt, wenn Personendaten von privaten Personen (private Stadionbetreiber) oder Bundesorganen (Bundesamt für Polizei) be- arbeitet werden. Dagegen finden die kantonalen Datenschutzgesetze Anwendung bei der Datenbearbeitung durch kantonale Organe (z.B. Kantonspolizei, Stadtpolizei). Für die datenschutzrechtliche Beurteilung ist in solchen Fällen der jeweilige kantonale (resp. städtische) Datenschutzbeauftragte zuständig. Folglich bezog sich unsere (nach-
48 16. Tätigkeitsbericht 2008/ 2009 des EDÖB folgende) Stellungnahme einzig auf die Datenbearbeitung durch private Personen und Bundesorgane. Generell gilt, dass die allgemeinen Datenschutzgrundsätze (Rechtmä- ssigkeit, Verhältnismässigkeit, Zweckbindung, usw.) zu beachten sind. Sodann brau- chen private Personen für die Bearbeitung von Personendaten einen Rechtfertigungs- grund, nämlich die Einwilligung der betroffenen Person, ein überwiegendes privates oder öffentliches Interesse oder ein Gesetz. Bundesorgane ihrerseits dürfen dann Per- sonendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht. Zum Einsatz von Biometrie resp. von Gesichtserkennungsgeräten bei den Eingängen eines Stadions gab uns die Arbeitsgruppe für das Pilotprojekt Rahmenbedingungen an. Ziel des Projekts ist es, Gewalt zu verhindern, indem möglichst viele Personen mit Stadionverbot oder einer anderen Massnahme nach Art. 24a ff. des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit (BWIS; Rayonverbot, Ausreise- beschränkung, Meldeauflage, Polizeigewahrsam) erkannt und am Eintritt ins Stadion gehindert werden. Bei den eingesetzten Gesichtserkennungsinstallationen handelt es sich um semi-mo- bile Geräte, die an verschiedenen Eingängen des Stadions aufgestellt werden, ohne dass die Zuschauer im Voraus wissen, an welchen. Dabei erfolgt die Gesichtskontrolle mehr oder weniger gleichzeitig mit der Personenkontrolle und für die betroffenen Per- sonen erkennbar. Bei der Gesichtserkennung ist jeweils eine Fachperson anwesend. Die Fotos, die in die Gesichtserkennungsinstallationen eingegeben werden, stammen einerseits aus der Datenbank des Bundesamtes für Polizei HOOGAN, andererseits aus den Stadionverbotslisten der Sportclubs und/oder Sportverbände. Die Daten bleiben immer nach Herkunft getrennt. Es werden insbesondere keine Daten aus HOOGAN in die Stadionverbotslisten kopiert; die Daten werden auf separaten chiffrierten USB- Sticks übergeben und in zwei gesonderte Galerien eingelesen. Die vom Bundesamt für Polizei vorselektionierten Daten aus HOOGAN werden erst kurz vor der Sportveranstaltung eingelesen und kurz nach der Veranstaltung unter Be- aufsichtigung des zuständigen Polizeivertreters wieder vernichtet. Es gelten also die gleichen Bedingungen wie bereits heute, mit dem Unterschied, dass die Daten nicht auf Papier, sondern auf einem chiffrierten USB-Stick geliefert werden. Das Bundesamt f ür Polizei wird das Bearbeitungsreglement HOOGAN sowie die HOOGAN-Richtlinie entsprechend anpassen. Die eingelesenen Fotos werden mit den hereinkommenden Stadionbesuchern verg- lichen (facetracking). Ergibt sich kein Treffer, erfolgt auch keinerlei Speicherung der Bil- der der hereinkommenden Personen. Was bei einem Treffer geschieht, kann noch kon- figuriert werden, auf jeden Fall sollte aus Beweisgründen in diesen Fällen ein Ausdruck erfolgen. Im Pilotprojekt wird es auch keine eigene «Datenbank Biometrie» geben.
49 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Unter diesen Voraussetzungen gaben wir folgende datenschutzrechtliche Beurteilung ab: Für die Weitergabe von Daten aus HOOGAN an die Organisatoren und Sicherheits- verantwortlichen sind gesetzliche Grundlagen gegeben (BWIS und die entsprechende Verordnung). Zudem dürfen die Daten gemäss den gesetzlichen Grundlagen in elek- tronischen Personenerkennungssystemen bearbeitet werden. Allerdings wären noch das Bearbeitungsreglement sowie die Richtlinie zu HOOGAN anzupassen, da dort eine W eitergabe auf Papier und nicht in elektronischer Form vorgesehen ist. Wichtig ist dabei weiterhin die Sicherstellung, dass erstens die herausgegebenen Daten protokol- liert werden, und dass zweitens die Daten nach der Sportveranstaltung sicher gelöscht und nicht weiterverwendet werden. Wir halten fest, dass die Übergabe der Daten auf einem chiffrierten USB-Stick gegenüber einer Datenübergabe auf Papier aus daten- schutzrechtlicher Sicht mindestens als gleichwertig einzustufen ist. F ür die Weitergabe von Daten aus den Stadionverbotslisten der Sportclubs oder Sportverbä nde an die Organisatoren und Sicherheitsverantwortlichen kann grund- sätzlich das Vorliegen eines Rechtfertigungsgrundes (überwiegendes privates oder öffentliches Interesse) bejaht werden. Allerdings müssen auch hier die allgemeinen Datenschutzprinzipien eingehalten werden. Insbesondere dürfen die Personendaten nur dann bearbeitet werden, wenn sie rechtmässig erhoben wurden. Als Beispiel sei genannt, dass Fotos von Personen mit Stadionverboten nur dann bearbeitet werden dürfen, wenn die Fotos rechtmässig gemacht wurden. Dies ist dann der Fall, wenn die Bilder im Rahmen einer Videoüberwachung zu Sicherheitszwecken im Stadion ge- macht wurden und das gespeicherte Bildmaterial sicherheitsrelevant ist (etwa im Falle von Ausschreitungen). Auch bei der Gesichtserkennung bei der Personenkontrolle durch die privaten Sta- d ionbetreiber resp. deren Sicherheitsverantwortliche lässt sich grundsätzlich das Vorliegen eines Rechtfertigungsgrundes (überwiegendes privates oder öffentliches Interesse) bejahen. Auch hier gelten die allgemeinen Datenschutzprinzipien. So dür- fen nach dem Verhältnismässigkeitsprinzip nur diejenigen Daten bearbeitet werden, die für den verfolgten Zweck tatsächlich geeignet und notwendig sind. Weiter ist die Datensicherheit nach DSG zu gewährleisten. Aufgrund von BWIS muss zudem sicher- gestellt werden, dass die Daten aus HOOGAN nicht mit den anderen Daten vermischt und nach der Veranstaltung wieder gelöscht werden. Weiter wären die Zuschauer über die Gesichtserkennung zu informieren, mit Hinweisschildern und eventuell einer Mit- teilung auf der Eintrittskarte. Aus Beweiszwecken ist der Ausdruck eines Treffers sicher zulässig. Wird der Fall der Kantonspolizei übergeben, richtet sich die Datenbearbeitung wie erwähnt nach kantonalem Recht.
50 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Wir wiesen die Arbeitsgruppe darauf hin, dass nicht der EDÖB, sondern die jeweiligen Datenbearbeiter (Bundesamt für Polizei, Organisatoren gemäss BWIS usw.) für die Ein- haltung der Datenschutzgesetzgebung verantwortlich bleiben. Schliesslich erlaubten wir uns die Bemerkung, dass für uns immer noch fraglich ist, ob angesichts der ge- planten Datenbearbeitungen die effektive Trefferquote der Gesichtserkennungsanlage wirklich gross genug und damit die Zweckmässigkeit der Massnahme gegeben ist. Wir zweifelten an der Effizienz der Anlage. Sc hliesslich wiesen wir darauf hin, dass die Gesichtserkennung nur etwas bringen könne, wenn sie mit anderen Massnahmen (Fanbetreuer, Beizug der Polizei usw.) ver- bunden werde. Für die Verknüpfung von Videoaufnahmen in den Stadien mit Biometrie resp. Gesichts- erkennung gaben wir folgende Beurteilung ab: Gemäss den Angaben der Arbeitsgruppe war ebenfalls geplant, die Gesichtserken- nung (nach der Eingangskontrolle) während des Spiels weiterzuführen. Dabei würden die Gesichtserkennungsgeräte mit in den Stadien bereits vorhandenen Videoeinrich- tungen verknüpft. Auch hier würden die «Nichttreffer» nicht gespeichert. Ziel wäre es, allfällige Treffer der Kantonspolizei zu melden, die danach die Personen aufsuchen würde. Diesbezüglich stellt sich die Frage der Verhältnismässigkeit. Auf jeden Fall gelten auch hier die oben genannten Voraussetzungen. Wiederum ist der EDÖB für die Beurteilung der Datenbearbeitung durch die Kantonspolizei nicht zuständig. Erneut ersuchten wir die Arbeitsgruppe, sicherzustellen, dass im Rahmen ihres Pro- jekts die vorgenannten Datenschutzvoraussetzungen eingehalten werden. Wie bereits erwähnt, sind die jeweiligen Datenbearbeiter (Bundesamt für Polizei, Organisatoren gemäss BWIS usw.) für die Einhaltung der Datenschutzgesetzgebung verantwortlich. Allerdings ist nach einer bestimmten Zeit die Gesichtserkennung durch die Organi- sa toren resp. Sicherheitsverantwortlichen einer Evaluation zu unterziehen und die datenschutzrechtliche Situation im Hinblick auf die Zweckmässigkeit und die Verhält- nismässigkeit der Massnahme nochmals abzuklären. Zu allen anderen Punkten des Pilotprojekts, zum Beispiel zur Frage der Gesichtser- kennung an öffentlichen Orten, haben wir nicht Stellung genommen, da dies von der Arbeitsgruppe nur am Rande erwähnt wurde und das Vorhaben für uns noch zu wenig konkretisiert war. Dort stellen sich weitere und viel heiklere Datenschutzprobleme, die noch abgeklärt werden müssten.
51 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.5 Gesundheit 1.5.1 Weitergabe von ärztlichen Gutachten Die W eitergabe eines ärztlichen Gutachtens stellt einen heiklen Vor- gang dar. Es werden besonders schützenswerte Personendaten an einen Dritten übergeben. In einigen Fällen bestehen deshalb klare spezialgesetzliche Grundlagen für die integrale Weitergabe ärztlicher Gutachten ohne die explizite Zustimmung der betroffenen Person. Be- stehen keine solchen Grundlagen, so müssen die allgemeinen Daten- schutzbestimmungen eingehalten werden. Insbesondere ist das Prin- zip der Verhältnismässigkeit zu beachten. Gemäss dem Prinzip der Verhältnismässigkeit dürfen Personendaten nur soweit bear- beitet werden, als diese für einen bestimmten Zweck objektiv geeignet und tatsäch- lich erforderlich sind. Bei der Weitergabe eines ärztlichen Gutachtens muss also der Absender, auch wenn er grundsätzlich zur Bekanntgabe von Informationen berechtigt ist, prüfen, welche Angaben er an den konkreten Empfänger übermitteln darf. Enthält ein ärztliches Gutachten Informationen, die für das Erreichen des konkreten Zwecks de s Empfängers nicht geeignet und nicht erforderlich sind, so muss der Absender diese entfernen oder unkenntlich machen. Sonst wird das Prinzip der Verhältnismäs- sigkeit verletzt. So darf der «case manager» einer Unfallversicherung zwar grundsätz- lich Informationen aus einem Gutachten an einen beteiligten Haftpflichtversicherer weitergeben. Jedoch hat er Angaben, die für den Versicherer im konkreten Fall ohne Bedeutung sind, unkenntlich zu machen oder schlicht zu entfernen. So kann es zum Beispiel sein, dass ein von der Unfallversicherung erstelltes Gutachten Hinweise auf die Freizeitaktivitäten einer geschädigten Person enthält. Diese Informationen dürfen dem Haftpflichtversicherer nur übermittelt werden, wenn sie für die Beurteilung ei- ner Rückgriffsforderung wirklich von Belang sind. Das ist beispielsweise dann der Fall, wenn eine bei einem Verkehrsunfall geschädigte Person ein Hobby betreibt, das mit besonderen körperlichen Risiken verbunden ist und den beim Verkehrsunfall entstan- denen Körperschaden möglicherweise massgeblich beeinflusst hat.
52 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.5.2 Online-Datenbank mit Patientendaten Der Betrieb einer Datensammlung, welche Krankheitsverläufe von Pati- enten dokumentiert, erfordert gezielte datenschutzrechtliche Vorkeh- rungen. Das trifft ganz besonders zu, wenn die Bearbeitung online er- folgt. Die Funktionen der Datenbearbeitung müssen beschrieben wer- den und die Beteiligten über das Verfahren informiert sein. Es gilt, mit angemessenen Massnahmen die Persönlichkeitsrechte der Patienten zu gewährleisten. Bei der Behandlung von Patienten mit Langzeiterkrankungen entstehen grosse Infor- mationsmengen. Eine Möglichkeit, die Daten zu verwalten, besteht darin, sie via Papier- formulare in eine Datensammlung zu übertragen. Eine andere Möglichkeit, welche hier besprochen wird, ist der Zugriff über ein öffentliches Netz. Sowohl die behandelnden Ärzte als auch die betroffenen Patienten erhalten zur Bearbeitung der Daten Zugriff auf die Datensammlung. Bei den zu bearbeitenden Informationen handelt es sich ohne Frage um besonders schützenswerte Daten. Deshalb erfordert ihre Bearbeitung beson- dere Massnahmen. Diese lassen sich in drei Bereiche einteilen: die Identifizierung der Teilnehmer, der Umfang des Datenzugriffs und die Zuteilung von Zugriffsrechten. Bei einem uns vorgestellten System handelt es sich um ein Langzeitregister im Bereich rheumatischer Erkrankungen. Die vom Betreiber geforderten und getroffenen Mass- nahmen sind als das absolute Minimum für eine Online-Datenbank mit Patientendaten zu betrachten.
Der Umfang des Datenzugriffs: In einer Patienteninformation ist genau be- schrieben, welcher Arzt auf die Daten des Patienten Zugriff hat. Ein Arzt hat nur auf die Daten seiner Patienten Zugriff, der Patient nur auf seine eigenen. Die Speicherung und der Transport der Daten erfolgen chiffriert.
53 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Zentrale Elemente im vorgestellten Verfahren sind die Patienteninformation und die Ein- verständniserklärung. Zunächst wird der Patient darüber informiert, welchem Ziel die Bearbeitung dient, wie die Daten erfasst und ausgewertet werden, was bei einem Arzt- wechsel geschieht und wie er die Datenbearbeitung beenden kann. Dann darf die Da- tenbearbeitung erst nach der schriftlichen Einwilligung des Patienten beginnen. Dieser kann die Einwilligung jederzeit widerrufen, ohne dass ihm daraus ein Nachteil entsteht. 1.5.3 Standards und Architektur der eHealth-Strategie Schweiz Der Bundesrat hat am 27. Juni 2007 die «Strategie eHealth Schweiz» verab schiedet. In ihr werden unter anderem zwei Ziele genannt: die für die Umsetzung der Strategie notwendigen Standards und eine ge- eignete eHealth-Architektur zu defi nieren. Der daraus resultierende Auftrag ging an das Teilprojekt «Standards und Architektur», dessen Ergebnisse als Grundlage für die anderen Teilprojekte dienen. Deshalb haben wir uns entschieden, aktiv an «Standards und Architektur» mit- zuwirken. Einige Ereignisse im Gesundheitswesen der Schweiz stellen für den Datenschutz eine grosse Herausforderung dar. Die Umsetzung der «Strategie eHealth Schweiz», welche vom Bundesrat am 27. Juni 2007 verabschiedet wurde, gehört mit Sicherheit dazu. Grundlage für einen effizienten und effektiven Datenschutz bildet die Erkenntnis, dass er einen der Sensibilität der bearbeiteten Personendaten angemessenen Stellenwert erhält. Der Bundesrat räumt in seinem Strategiepapier der Datensicherheit und dem Dat enschutz höchste Priorität ein. Für ihn bedeutet «die Bearbeitung medizinischer Daten einen Eingriff in die Grund- bzw. Persönlichkeitsrechte der betroffenen Per- sonen (z.B. der Patientinnen und Patienten). Damit der Eingriff legitim ist, müssen rechtliche, organisatorische und technische Massnahmen getroffen werden. Die Qua- lität dieser Massnahmen hat einen starken Einfluss auf das Vertrauen in die elektro- nischen Gesundheitsdienste.» Unter diesen positiven Voraussetzungen haben wir uns entschieden, sowohl im Teil- projekt «Standards und Architektur» als auch im Teilprojekt «Rechtliche Grundlagen» aktiv mitzuarbeiten.
54 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Das Teilprojekt «Standards und Architektur» will zwei Ziele der Strategie erreichen:
55 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.5.4 Die Einwilligung der betroffenen Personen bei medizinischen Forschungsprojekten Die Daten für die Forschung sind den Forschenden grundsätzlich an- on ym zur Verfügung zu stellen. Sofern dies nicht möglich ist, ist die E inwilligung der Betroffenen einzuholen. Ist dies unmöglich, besteht die Möglichkeit, Forschungsprojekte mit Hilfe einer Bewilligung der Ex- pertenkommission für das Berufsgeheimnis in der medizinischen For- schung durchzuführen. Es existieren heute Systeme, die unterschied- liche Abläufe berücksichtigen, damit den Forschern die Daten in anony- misierter Form zur Verfügung gestellt werden können. Grundsätzlich muss man für die Forschung mit medizinischen Personendaten immer im Besitze der Einwilligung des betroffenen Patienten sein, ausser, man könne den Forsch enden die Daten in anonymisierter Form zur Verfügung stellen. Personendaten sind dann anonymisiert, wenn sie nicht mehr einer bestimmten oder bestimmbaren Person zugeordnet werden können. In dieser Form unterliegen sie auch nicht mehr dem Datenschutzgesetz. Sofern weder eine Einwilligung eingeholt werden kann, etwa weil die Betroffenen verstorben sind, noch die Forschung mit anonymisierten Da- ten möglich ist, besteht immer noch die Möglichkeit, mit Hilfe einer generellen Be- willigung oder einer Sonderbewilligung, welche von der Expertenkommission für das Berufsgeheimnis in der medizinischen Forschung (Expertenkommission) mit den ent- sprechenden Auflagen ausgestellt werden kann, Forschung zu betreiben. Kontrollen unsererseits sowie Anfragen von Bürgern haben allerdings aufgezeigt, dass diese Vorgaben unterschiedlich interpretiert werden. Zum Teil geht man davon aus, dass eine Bewilligung der Expertenkommission genügt, damit namentlich keine Einwilligung mehr bei den Betroffenen eingeholt werden muss. Ein solches Vorgehen ist aber wi- derrechtlich. Mit Personendaten sollte der Forschende gar nicht erst in Kontakt kommen, weil diese für die Forschungsvorhaben nicht notwendig sind. Es sind deshalb entsprechende Sy- steme zu gestalten, die es den Forschenden ermöglichen, mit anonymisierten Daten zu arbeiten. Die Anonymisierung von Personendaten kann oder muss je nach Situation unterschiedlich erfolgen. Bei Personendaten auf Papier wäre es ideal, wenn man dem Forscher nur die beispielsweise durch einen Archivmitarbeiter anonymisierten Daten zur Verfügung stellen könnte. Diese Dokumente könnten je nach Bedürfnis auch durch ein Pseudonym ergänzt werden, so dass allfällige, für den Patienten wichtige Erkennt- nisse diesem mitgeteilt werden können.
56 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Die Erhebung von Forschungsdaten aus «elektronischen» Datenbanken kann grund- sätzlich anonym erfolgen, indem man die Daten aus der Datensammlung so erhebt, dass keine identifizierenden Daten in die Forschungsdatensammlung übernommen werden. Muss später allenfalls noch einmal auf die Ausgangsdaten zugegriffen wer- den, kann man auch im vorliegenden Fall mit Pseudonymen arbeiten, welche eine Re-Identifikation der Ursprungsdaten ermöglichen würde. Auch für Register, wie bspw. Krebsregister, bestehen heute datenschutzkonforme Lösungen. Wichtige Informationen zum Anonymisieren und Pseudonymisieren im medizinischen Bereich finden sich in der Schriftenreihe der Telematikplattform für Medizinische Forschungsnetze mit der Bezeichnung «Generische Lösungen zum Datenschutz für die Forschungsnetze in der Medizin» (vgl. dazu www.tmf-net.de/Pro- dukte/Uebersicht.aspx). 1.5.5 Erhebung von Personendaten zu Forschungszwecken aus elektronischen Datensammlungen eines Spitals In der Folge wird eine Lösungsmöglichkeit aufgezeigt, wie Daten zu Forschungszwecken datenschutzkonform aus unterschiedlichen elek- tronischen Datensammlungen eines Spitals erhoben und den Forschern zur Verfügung gestellt werden können. Aufgrund der Zentralisierung fördert eine solche Lösung auch die Transparenz im Umfeld der medizi- nischen Forschung im jeweiligen Spital. I n einigen Spitälern bestehen mehrere elektronische Datensammlungen, mit deren Daten Forschungsprojekte durchgeführt werden. Sinnvollerweise wendet sich der Forscher an den Verantwortlichen der Datensammlung, damit sie gemeinsam die re- levanten Daten erheben können. Dabei ist darauf zu achten, dass keine (direkt) iden- tifizierenden Daten wie bspw. Name, Vorname oder Adresse erhoben werden. Die Nummer, die den Patienten im Spital eineindeutig identifiziert, darf erhoben werden, diese soll aber für die Forscher nicht einsehbar sein. Die Daten befinden sich nun auf einem Laptop und können auf einen zentralen Forschungsrechner übertragen wer- den. Dieser überprüft, ob die (direkt) identifizierenden Daten eliminiert wurden. Ist dies nicht der Fall, so wird dies protokolliert und dem Datensammlungsverantwortlichen sowie dem Forschungsprojektleiter mitgeteilt. Im Weiteren wird der Spitalnummer nun eine andere, nicht sprechende Zeichenfolge (Pseudonym) zugeordnet, so dass eine allfällige Rückidentifikation des Patienten möglich ist, wenn dieser bspw. aufgrund von Forschungserkenntnissen informiert werden muss. Auf dem Forschungsrechner sind auch diejenigen Betroffenen festgehalten, welche ihre Personendaten nicht zur Ver- fügung stellen wollen. Das System überprüft die in den Rechner übertragenen Daten
57 16. Tätigkeitsbericht 2008/ 2009 des EDÖB auf Patienten, welche ihre Daten für Forschungsprojekte gesperrt haben. Sofern sol- che vorhanden sind, werden sie aus dem Forschungssystem gelöscht. Erst nachdem diese Prozesse durchlaufen wurden, werden die Daten für die Forscher freigegeben. Sie haben dann online auf das System Zugriff und können nun das Forschungsprojekt durchführen. Selbstverständlich sind die sensitiven Bereiche in einem solchen System entsprechend zu schützen. Dies gilt insbesondere für den Prozess der Zuordnung der Spitalnummer zum Pseudonym. Eine solche Zentralisierung der Forschungsvorhaben hat auch den Vorteil, dass die Transparenz im Forschungsbereich innerhalb eines Spitals erhöht wird. Aufgrund der Tatsache, dass die jeweiligen Spitäler unterschiedlich strukturiert sind und nicht die gleichen Sachmittel einsetzen, bestehen unterschiedliche Lösungsmöglichkeiten.
58 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.6 Versicherungen 1.6.1 Totalrevision des Versicherungsvertragsgesetzes Der Bundesrat hat die Botschaft zur Totalrevision des Versicherungs- ve rtragsgesetz (VVG) verabschiedet. Die Gesetzesrevision verbessert die Bestimmungen zur vorvertraglichen Information. Neu ist die Infor- mationspfl icht über das Widerrufsrecht für alle Versicherungsverträge eingefügt worden. Die Bestimmungen über die Datenschutzinformati- onen wurden wörtlich übernommen. Gemäss Vorschlag sind zudem die v orvertraglichen Informationen dem Versicherten neu zwingend vor der ihn bindenden Willenserklärung abzugeben. Unsere Anträge und Erläuterungen wurden mehrheitlich berücksichtigt. Bereits mit der Teilrevision des Bundesgesetzes über den Versicherungsvertrag (VVG) hat man die vorvertraglichen Informationspflichten der Versicherer verstärkt und die Anliegen des Datenschutzes aufgenommen (vgl. unseren 11. Tätigkeitsbericht 2003/2004, Ziff. 6.2.3). So müssen die Versicherer seit dem 1. Januar 2007 über den Zweck und die Art der Datensammlung sowie über Empfänger und Aufbewahrung der Daten informieren. Der Inhalt dieser Bestimmung findet sich wortgetreu im VVG-Ent- wurf. Dies hat zu einer schrittweisen Verbesserung der Datenschutzbestimmungen im Versicherungsbereich geführt (Teilrevision VVG, 1. Januar 2007 sowie Teilrevision DSG,
59 16. Tätigkeitsbericht 2008/ 2009 des EDÖB sich, dass die Information auch im eigenen Interesse der Versicherungsgesellschaft erfolgen muss. Der Begriff der Zustimmung orientiert sich dabei an demjenigen der «Einwilligung des aufgeklärten Patienten». Wir haben in unseren Stellungnahmen emp- fohlen, sich bei der Ausarbeitung von Datenschutzmerkblättern auf die Europarats- Empfehlung Rec (2002) 9 über den Schutz von zu Versicherungszwecken erhobenen und verarbeiteten Daten zu stützen. Neu wird im VVG-Entwurf die vorvertragliche Informationspflicht über das Widerrufs- recht vorgeschlagen. Diese Information ist erforderlich, weil der Versicherungsnehmer neu das Recht haben soll, innerhalb von vierzehn Tagen seinen Antrag auf Abschluss, Änderung oder Verlängerung zu widerrufen. Im VVG-Entwurf nicht vorgesehen ist die gesetzliche Verankerung des Vertrauens- arztes. Für genetische Daten ist im Gesetz über die genetische Untersuchung am Menschen (GUMG) der «beauftragte Arzt» bereits ausdrücklich vorgesehen. Da die Be- zeichnung Vertrauensarzt aber aus der Sozialversicherung stammt und der Privatas- sekuranz fremd ist, wurde im GUMG der Begriff beauftragter Arzt gewählt. Beauftrag- ter Arzt, Gesellschaftsarzt und Vertrauensarzt sind alles Ärzte, die dieselbe Funktion ausüben. Gemeint ist stets der für die Versicherungsgesellschaft tätige Arzt. Im VVG fehlt eine gesetzliche Regelung, wonach der Versicherte analog zu Art. 42 Abs. 5 des Krankenversicherungsgesetzes (KVG) verlangen kann, dass Gesundheitsdaten nur me- dizinischem Personal bekannt gegeben werden dürfen. Zwar gibt es in der Praxis der Versicherungsgesellschaften bereits den Gesellschaftsarzt, den medizinischen Dienst oder den beratenden Arzt. Leider ist dies aber nicht allen Beteiligten bewusst, und weder für Versicherte noch für Ärzte ist immer eindeutig klar, dass medizinische Daten ausschliesslich an medizinisches Personal weiterzuleiten sind. Deshalb sollten Versi- cherte in ihren Einwilligungserklärungen ausdrücklich erwähnen, dass sie der Wei- tergabe von Gesundheitsdaten nur von Arzt zu Arzt zustimmen. Die Ärzte ihrerseits sollten genetische Daten gemäss GUMG nur an den beauftragten Arzt weitergeben. Die anderen medizinischen Daten dürften sie nur an den Gesellschaftsarzt, den me- dizinischen Dienst bzw. den beratenden Arzt der Versicherungsgesellschaft weiterlei- ten. Die Weitergabe der Daten hat in verschlossenen und entsprechend adressierten Briefumschlägen zu erfolgen.
60 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.6.2 Zur Funktion des Vertrauensarztes in den verschiedenen Versicherungsbereichen Als juristische Beratungsstelle wird der EDÖB auch immer wieder mit Problemen aus dem Bereich des Datenschutzes im Gesundheitswesen kontaktiert. Zum Dauerbrenner sind dabei die Fragen über den Einsatz d es Vertrauensarztes in den verschiedenen Versicherungsbereichen geworden. Die Revision des Krankenversicherungsgesetzes (KVG) vom 18. März 1994 hat dem Ge- sundheitswesen die Rechtsfigur des Vertrauensarztes beschert. Seit seiner Einführung ist es immer wieder zu Missverständnissen um seine Position und Aufgabe innerhalb des Gesundheitswesens gekommen. Wir haben es uns seit je zur Aufgabe gemacht, die wahre Bedeutung des Vertrauensarztes im KVG hervorzuheben. So haben wir im Berichtsjahr vor der Schweizerischen Gesellschaft der Vertrauensärzte (SGV) in einem Refer at erneut auf die Wichtigkeit des Vertrauensarztes hingewiesen. Gemäss un- seren Ausführungen bewegt sich der Vertrauensarzt (VA) als besonderes Organ des Krankenversicherungsgesetzes im Spannungsfeld zwischen den Interessen der Versi- cherten, der Leistungserbringer und der Versicherer. In seinem Urteil unabhängig, darf er den zuständigen Stellen der Versicherer nur diejenigen Angaben weitergeben, die notwendig sind, um über die Leistungspflicht zu entscheiden. Der Leistungserbringer ist stets berechtigt und auf Verlangen der versicherten Person sogar in jedem Fall ver- pflichtet, medizinische Angaben nur dem Vertrauensarzt bekannt zu geben. Wir haben zudem betont, dass sich die gesetzlich vorgeschriebene Unabhängigkeit zunächst in der Organisation eines vertrauensärztlichen Dienstes (VAD) niederschla- gen müsse. So müssen Lokale des VAD genügend abgetrennt und abschliessbar sein. Die Post darf nur durch Stellen des VAD geöffnet werden und es muss jederzeit sicher gestellt sein, dass besonders schützenswerte Personendaten den VAD nicht verlas- sen können. Ein unabhängiges Telefon- und Telefaxnetz ist unabdingbar, und das In- formatiksystem muss physisch so organisiert werden, dass die vom VAD erstellten Do kumente nur auf eigenen Speichermedien archiviert werden, die wiederum nur den Mitarbeitern des VAD zugänglich sind. Als eindeutig unvereinbar erachten wir die Unterstellung des VA unter den Chef Leistungen der jeweiligen Versicherung. Dem VA m uss zudem die alleinige Kompetenz zur Anstellung seines Hilfspersonals zukom- men. Eindeutig haben wir uns dahingehend geäussert, dass sich Vertrauensärzte als Gesellschaftsärzte stets darauf beschränken sollten, nur im Bereich der Zusatzversi- cherungen aktiv zu sein, um sämtliche Interessenskollisionen mit anderen Versiche- rungsbereichen (Krankentaggeld, berufliche Vorsorge) zu vermeiden.
61 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Sodann haben wir auch auf die Rolle der Ärzte in weiteren Versicherungszweigen hingewiesen. Die «Institution» des VA ist gesetzlich nur gerade für die obligatorische Grundversicherung geregelt. Das KVG verpflichtet die Krankenversicherer, VA zu be- stellen. Bereits im Bereich der Krankenzusatzversicherung gelangt das Versicherungs- vertragsgesetz (VVG), in der Unfallversicherung das Bundesgesetz über die Unfallver- sic herung (UVG) zur Anwendung. VVG, UVG, diverse Sozialversicherungsgesetze (IV, AHV) und weitere Versicherungszweige müssen zweckbestimmt immer wieder medi- zinisches Fachwissen von Ärzten nutzen, verfügen aber über keine gesetzliche Rege- lung, welche den Beizug oder die Einsetzung von Vertrauensärzten vorsieht. Vertrau- ensärzte der Krankenversicherer, Ärzte der SUVA, der Regionalen ärztlichen Dienste (RAD), der Medizinischen Abklärungsstelle der Invalidenversicherung (MEDAS) oder beratende Ärzte der Privatversicherer wie auch von Firmen und Behörden, verstehen sich in erster Linie als Ärzte und dadurch als Mittler zwischen Versicherer, Leistungser- bringer und Patient. Im juristischen Beratungsumfeld des Gesundheitswesens wurden wir auch in diesem Berichtsjahr wiederholt mit der Frage konfrontiert, ob sich das Modell des Vertrauensarztes, wie es im KVG gesetzlich vorgeschrieben ist, nicht analog in diesen weiteren Versicherungszweigen verankern liesse (vgl. dazu auch Ziff. 1.6.1). Vorausgesetzt dass Pflichten und Rechte ebenso wie die Unabhängigkeit der Orga- nisation gewährleistet würden, sprächen sicher keine gewichtigen Gründe dagegen. Allerdings sind organisatorische Massnahmen zur Gewährleistung der Unabhängigkeit unser Ansicht nach zwar wichtig, aber allein genügen sie nicht, um die Rechte des Pati- enten in allen Fällen ausreichend zu schützen. Die Problematik liegt nämlich einerseits in der schwierigen Auslegung des Begriffs der «medizinischen Daten» begründet und anderseits in der interpretationsbedürftigen Verpflichtung des Vertrauensarztes, dem jeweiligen Versicherer nur jene Angaben weiter zu geben, die absolut notwendig sind, um über die Leistungspflicht entscheiden zu können.
62 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.6.3 Erhebung des EDÖB und des BAG zur datenschutzrechtlichen Situation bei anerkannten sozialen Krankenversicherern Ge meinsam mit dem Bundesamt für Gesundheit (BAG) haben wir im Rahmen unserer Aufsichtstätigkeit bei sämtlichen anerkannten sozi- alen Krankenversicherern eine Erhebung über die datenschutzrecht- liche Situation durchgeführt. A bklärungen des BAG und des EDÖB bei einzelnen Krankenversicherungen haben mehrfach ergeben, dass datenschutzrechtliche Mängel bestehen. Die beiden Auf- sichtsorgane wirkten in der Folge wiederholt darauf hin, dass sich die Krankenversi- cherer datenschutzkonform verhalten. Im Rahmen der Aufsichtstätigkeit haben wir und das BAG nun im Berichtsjahr mittels einer Arbeitsgruppe bei den anerkannten sozialen Krankenkassen eine Erhebung über die datenschutzrechtliche Situation durchgeführt. Im Dezember 2007 sandten wir allen Krankenversicherern einen aus- führlichen Fragebogen mit 70 Fragen zu. Diese flächendeckende Erhebung sollte Auf- schluss geben über die datenschutzrechtliche Organisation und die Handhabung des Datenschutzes im Krankenversicherungsbereich. Nach Eingang der Antworten konnten wir uns in einem ersten Schritt ein umfassendes Bild von der datenschutzrechtlichen Situation bei den Krankenversicherern machen. In einem zweiten Schritt besteht nun die Absicht, den Krankenversicherern bei der Verbesserung ihrer datenschutzkonformen Organisationsstruktur behilflich zu sein. Nicht zuletzt sollen aufgrund der Erhebung Anregungen zum freiwilligen Datenschutz- audit sowie zur freiwilligen Datenschutzzertifizierung der Krankenversicherer nach re- vidiertem DSG ausgearbeitet werden. Um den Datenschutz und die Datensicherheit zu verbessern, können die Krankenversicherer ihre Systeme, Verfahren und Organisation ei ner Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen, sind aber von Gesetzes wegen nicht dazu verpflichtet. Die Auswertung und Analyse der ausführlichen Antworten und detaillierten Belege waren aufwändig. Die 93 Krankenversicherer (Stand Ende 2007) haben mehrheitlich fristgerecht gute und vollständige Antworten und Belege abgeliefert. Deren Auswer- tung liegt in Form eines ca. 50 seitigen Berichtes vor und bietet – mit den allgemeinen Aufsichtsdaten des BAG – eine gute Grundlage für die Optimierung des Datenschutzes bei den Krankenversicherern. Dabei ist mit allem Nachdruck festzuhalten, dass die Krankenversicherer die alleinige Verantwortung tragen, dass ihre hochsensiblen Daten datenschutzkonform bearbeitet werden und keine Sicherheitsprobleme entstehen. Die beiden Aufsichtsbehörden sind bereit, die Krankenversicherer dabei zu unterstützen.
63 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Als wichtiger Aspekt der Analyse ist vorausschickend zu erwähnen, dass heute die meisten Krankenversicherer innerhalb einer Versicherungsgruppe oder eines Kran- kenkassenverbandes zusammenarbeiten. Diese «Gruppenbildung» galt es bei den Auswertungsergebnissen zu berücksichtigen. Sie haben eindeutig ergeben, dass die Krankenversicherer zum jetzigen Zeitpunkt über keine einheitlichen Konzepte und In- strumente für die Einhaltung des Datenschutzes verfügen. Die Analyse des eigentlichen «Herzstücks» der Untersuchung - das Datenschutzma- nagement und die Datenschutzorganisation der Krankenversicherer - hat insbesonde- re folgende Resultate ergeben: Über ein Datenschutzkonzept verfügen 59% der Krankenkassen, welche 90% der Be- völkerung versichern. Ein solches Konzept gibt Auskunft über die mittel- und langfri- stige Strategie, wie die Anforderungen des DSG im Betrieb wahrgenommen bzw. die Umsetzung sichergestellt werden. Es beschreibt die Organisation des Datenschutzes, und daraus leiten sich die konkreten Aufgaben des Datenschutzbeauftragten und der für die Datensammlungen zuständigen Personen ab. Ein Datenschutzkonzept ist nicht gesetzlich vorgeschrieben. Über Bearbeitungsreglemente zu ihren schützenswerten Datensammlungen verfügen nur 26% der Krankenkassen (bei denen aber 62% der Bevölkerung versichert sind). Entsprechend existieren bei mindestens 38% der Versicherten keine Vorgaben, wie mit schützenswerten Daten umzugehen ist. Hier sind weder Datenschutz noch Da- tensicherheit gewährleistet. Gemäss Gesetzgebung ist jedoch für jede meldepflichtige Datensammlung ein Bearbeitungsreglement zu erstellen und aktuell zu halten. Das Si- cherstellen der Vollständigkeit und der Aktualität der Bearbeitungsreglemente ist eine Hauptaufgabe des Datenschutzbeauftragten des Krankenversicherers und dient als eigentliche Grundlage für den gesetzeskonformen Betrieb bzw. die gesetzeskonforme Nutzung einer Datensammlung mit schützenswerten Personendaten. Die Datenschutzverantwortlichen von 62% der Krankenversicherer (die 91% der Be- völkerung versichern) verfügen über eine befriedigende Ausbildung. Eine genügende Ausbildung leitet sich aus den Pflichten der Datenschutzverantwortlichen ab. In den anderen Fällen ist der Rolleninhaber nicht autonom und steht in einem Interessenkon- flikt. Bei 40 Krankenversicherern verfügt der Datenschutzverantwortliche nicht über ein schriftliches Pflichtenheft seiner Rolle. 80% der Krankenversicherer mit 91% der Versicherten verfügen über einen Daten- schutzverantwortlichen. Dieses Resultat ist zu begrüssen. Betriebe ohne Datenschutz- verantwortlichen sind verpflichtet, alle ihre Datensammlungen mit schützenswerten Personendaten dem EDÖB anzumelden und aktuelle Bearbeitungsreglemente zu un- terhalten.
64 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Bezüglich aller Ergebnisse ist festzuhalten, dass das Abschneiden der einzelnen Kran- kenversicherer nicht von deren Grösse oder einer Gruppenbildung abhängt. Im Ge- genteil, gerade kleine Kassen haben etwa gute bis sehr gute Bearbeitungsreglemente vorgelegt. Trotz der aufgezeigten Mängel gilt es anzuerkennen, dass die Krankenver- sicherer für die ganze Datenschutzproblematik sensibilisiert sind und auch mehrfach die Bereitschaft bekundet haben, sich in diesem Bereich zu verbessern. So hat sich denn auch eine klare Mehrheit bereit erklärt, sich einem regelmässigen freiwilligen Datenschutzaudit zu unterziehen. Im Weiteren haben bereits heute einzelne Kranken- versicherer – in Kenntnis des zu erwartenden Grossaufwands – die Absicht bekundet, sich zu gegebener Zeit einer freiwilligen Datenschutzzertifizierung zu unterziehen. Di- ese stösst aber dennoch auf weniger Akzeptanz als ein Datenschutzaudit. Übrigens ist auch die Bereitschaft zu Datenschutzaudit bzw. -zertifizierung nicht von der Grösse der Kasse abhängig. Es würde im Rahmen dieser Berichterstattung zu weit führen, auf die einzelnen Sach- v erhalte näher einzugehen. Wichtige Resultate betreffen die Wirtschaftlichkeitskon- trolle, den vertrauensärztlichen Dienst, das im Bundesgesetz über die Krankenversi- cherung (KVG) nach wie vor nicht geregelte Case Management sowie das über Erwar- ten umfangreiche Outsourcing der Krankenversicherer, d.h. die im Auftrag der Kassen von Dritten durchgeführten Aufgaben über die ganze Bandbreite von anfallenden Tä- tigkeiten. Wir werden zusammen mit dem BAG darüber in ausführlicher Form berich- ten. In den nächsten Monaten werden wir insbesondere die diversen offenen Fragen weiter bearbeiten und allgemeine Anregungen an die Adresse der Krankenversicherer abgeben.
65 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.7 Arbeitsbereich 1.7.1 Einführung des Familienzulagenregisters Seit dem 1. Januar 2009 ist das neue Bundesgesetz über die Familienzu- lagen in Kraft. Darin ist die Einführung eines Familienzulagenregisters vorgesehen. Wir haben zur entsprechenden Gesetzesvorlage keine Ein- wände angebracht. Das Familienzulagenregister wird nach den Informationen über das Kind, für das eine Zulage bezogen wird, ausgerichtet. Mit der Schaffung dieses Registers soll in erster Linie der Missbrauch im Sinne von Doppelbezügen von Familienzulagen verhindert werden. Damit es dieses Ziel erreicht, müssen alle Familienausgleichskassen dem Re- gister regelmäßig die notwendigen Daten und Mutationen liefern. Der Datenkatalog des Familienzulagenregisters wird voraussichtlich weder besonders schützenswerte Daten enthalten, noch gesamthaft ein Persönlichkeitsprofil darstellen. Wir haben die entsprechende Gesetzesvorlage geprüft und keine datenschutzrecht- lichen Einwände angebracht. 1.7.2 Revision des Regierungs- und Verwaltungsorganisationsgesetzes Die Bundesverwaltung ist dabei, den Schutz der Benutzer ihrer Tele- kommunikationsinfrastruktur vor unzulässiger Datenbearbeitung ge- setzlich zu verankern. Zugleich wird die gesetzliche Grundlage geschaf- fen, damit die Bundesverwaltung die Daten für bestimmte Zwecke be- arbeiten kann. Wir haben bei den Entstehungsarbeiten mitgewirkt. B undesangestellte und Dritte, welche die Telekommunikationsinfrastruktur des Bundes benützen oder per Videoüberwachung geschützte Verwaltungsgebäude betreten, hin- terlassen elektronische Spuren. Nebst Randdaten, die beim Auf- und Abbau elektro- nischer Verbindungen entstehen, können dabei auch Inhaltsdaten generiert werden, die im Einzelfall einen besonders schützenswerten Charakter haben können. Die Aufzeichnung und Bearbeitung der Daten aus der elektronischen Infrastruktur der Bu ndesverwaltung erfolgte bisher ohne formelle gesetzliche Grundlage. Wir haben empfohlen, diese Lücke mit der Revision des Regierungs- und Verwaltungsorganisati- onsgesetzes (RVOG) zu schliessen.
66 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Der Revisionsentwurf sieht vor, dass die Bundesverwaltung grundsätzlich alle Daten aufzeichnen darf, die bei der Benutzung der elektronischen Infrastruktur entstehen. Eingegrenzt wird die Datenbearbeitung durch die Auflistung von Voraussetzungen und die abschliessende Aufzählung der zulässigen Bearbeitungszwecke. Bundesor- gane sollen unserer Meinung nach die Daten über den Auf- und Abbau elektronischer Verbindungen nur weiterbearbeiten dürfen, um etwa die Informations- und Dienst- leistungssicherheit zu gewährleisten oder die Einhaltung von Nutzungsreglementen zu kontrollieren. Die personenbezogene Auswertung darf nach unserem Dafürhalten nur erfolgen, wenn ein konkreter Verdacht auf eine missbräuchliche Verwendung der elektronischen Infrastruktur besteht. Bei den Entstehungsarbeiten der Gesetzesvorlage wirkten wir aktiv mit. Sie wurde anfangs 2009 durch den Bundesrat in die Vernehmlassung geschickt. 1.7.3 Revision des Bundespersonalgesetzes Die Revision des Bundespersonalgesetzes soll die formelle Grundlage für die Bearbeitung von schützenswerten Personendaten und Persön- lichkeitsprofi len im Personaldatenverarbeitungssystem BV PLUS schaf- fen. Unsere Empfehlungen anlässlich der ersten Ämterkonsultation blie- ben auch im neuen Regelungsentwurf weitgehend unberücksichtigt. Im Rahmen der ersten Ämterkonsultation zur Revision des Bundespersonalgesetzes (BPG) haben wir verschiedene Einwände bezüglich der Regelungsdichte angebracht (vgl. unseren 15. Tätigkeitsbericht 2007/2008, Ziff. 1.7.4). Anlässlich der zweiten Äm- terkonsultation mussten wir feststellen, dass unsere Einwände weitgehend unberück- sichtigt geblieben sind. Keinen Eingang fand so auch im neuen Entwurf unsere Emp- fehlung zur Regelung der neuen Aufgaben des BV PLUS und des Abrufverfahrens von Beurteilungsdaten und anderen besonders schützenswerten Personendaten mittels dem Benutzerzugang E-Gate. Problematischerweise wurden zudem sämtliche wei- teren Zugriffe per Abrufverfahren, welche im ersten Regelungsentwurf vorgesehen waren, aus dem neuen Entwurf entfernt. Die vom Bundesrat am 19. September 2008 eröffnete Vernehmlassung dauerte drei Monate. Die Botschaft zur Revision des BPG soll nach heutiger Planung in der ersten Hälfte 2009 durch den Bundesrat genehmigt und zuhanden des Parlaments verab- schiedet werden.
67 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.7.4 Umgang mit persönlichen Pensionskassenausweisen Eine Pensionskasse stellt die persönlichen Ausweise ihrer versicherten Personen an den jeweiligen Arbeitgeber zu. Er verteilt die Pensionskas- senausweise anschliessend an seine Arbeitnehmer. Die Pensionskasse ist jedoch nicht befugt, die Ausweise an den Arbeitgeber zu senden. Er benötigt die auf dem Pensionskassenausweis aufgelisteten Informati- onen weder versicherungsrechtlich noch arbeitsrechtlich. Wir betrach- ten die Zustellungspraxis dieser Pensionskasse als nicht datenschutz- konform, weshalb wir eine Empfehlung erlassen werden. Wie uns mitgeteilt wurde, schickt eine Pensionskasse die persönlichen Ausweise Ihrer V ersicherten an den jeweiligen Arbeitgeber, und zwar an jene Adresse, die ihr der Arbeitgeber mitteilt. Die auf diese Weise zugestellten Pensionskassenausweise wer- den anschliessend intern an die Arbeitnehmer weitergeleitet. Da die Ausweise nicht p ersönlich adressiert sind, kann der Arbeitgeber mit der Feinverteilung vom Inhalt Kenntnis nehmen. Unserer Einschätzung nach ist die gegenwärtige Zustellungspraxis dieser Pensions- kasse nicht datenschutzkonform. Die Informationen auf dem Pensionskassenausweis sind nur für den Versicherten bestimmt. Weder versicherungsrechtlich noch arbeits- rechtlich ist der Arbeitgeber auf diese Daten angewiesen. Die Pensionskasse hat die Zustellung so zu gestalten, dass der Arbeitgeber keinen Zugriff auf den Pensionskas- senausweis erhält. Wir haben mit der Pensionskasse Kontakt aufgenommen und sie um eine Stellungnah- me gebeten. Die Pensionskasse führte zunächst organisatorische Gründe an, um die- se Praxis zu rechtfertigen. Daraufhin unterbreiteten wir der Pensionskasse Vorschläge zu r pragmatischen Lösung dieses organisatorischen Problems. Die Pensionskasse folgt unseren Vorschlägen jedoch nicht, mit der Begründung, der Einblick in diese Da- ten sei für den Arbeitgeber aus versicherungs- und arbeitsrechtlichen Gründen er- forderlich. Wir erwiderten, dass die Pensionskasse keinen Rechtfertigungsgrund für die Zustellung der Ausweise an den Arbeitgeber hat und dass diese Daten für den Arbeitgeber weder zur Umsetzung des Gesetzes über die berufliche Vorsorge noch zur Durchführung des Arbeitsverhältnisses erforderlich seien und diese Praxis den Datenschutz verletze. Der mehrfache Schriftenwechsel hat schliesslich zu keiner Lösung geführt. Deshalb werden wir zuhanden dieser Pensionskasse eine Empfehlung ausarbeiten.
68 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.7.5 Fragenkatalog bei Aufnahme in eine Pensionskasse Gesundheitsdaten dürfen bei der Aufnahme in eine Pensionskasse nur im Bereich der überobligatorischen Versicherung erhoben werden. Bei der Aufnahme in die obligatorische Versicherung darf die Pensionskas- se keine solchen Daten verlangen, da hier eine gesetzliche Aufnahme- pfl icht besteht. Zu beurteilen war die Frage, ob Pensionskassen mit einem Fragenbogen Gesundheits- daten aufnahmewilliger Person erheben dürfen. Aus dem Fragenbogen war nicht klar ersichtlich, ob es sich um eine obligatorische oder eine überobligatorische Versiche- rung nach dem Bundesgesetz über die berufliche Alters-, Hinterlassenen- und Invali- denvorsorge (BVG) handelt. In unserer Stellungnahme haben wir auf den wichtigen Unterschied zwischen obliga- tor ischer und überobligatorischer Versicherung nach BVG hingewiesen. Im Bereich der obligatorischen Versicherung dürfen keine Gesundheitsdaten erhoben werden, da eine gesetzliche Aufnahmepflicht besteht. Demzufolge sind Personen ungeachtet des Gesundheitszustandes in die Pensionskasse aufzunehmen, sofern die Bedingungen des BVG erfüllt sind. Hingegen dürfen für die Aufnahme in eine überobligatorische Versicherung nach BVG Gesundheitsdaten angefordert werden. Hier dürfen die Versicherer für die Risiken Tod und Invalidität einen Vorbehalt aus gesundheitlichen Gründen machen, weshalb bei dieser Versicherung die gesundheitliche Risikoabklärung im Aufnahmeverfahren eine grosse Rolle spielt. Die Person, die eine überobligatorische Versicherung abschliessen will, muss der Pensionskasse vor der Aufnahme Tatsachen mitteilen, die geeignet sind, den Entschluss des Versicherers zu beeinflussen. Demgegenüber muss die Versiche- rung die antragstellende Person informieren, zu welchem Zweck die Gesundheits- daten erhoben werden. Wie viele und welche Gesundheitsdaten für eine Risikobeur- teilung beschafft werden dürfen, ist eine Frage der Verhältnismässigkeit. Es dürfen nur so viele Daten erhoben werden, wie für die Zweckerreichung notwendig sind. Es kann nach dem Grundsatz von Treu und Glauben erforderlich sein, dass die antragstellende Person noch weitere Informationen liefern muss. Allenfalls ist mitzuteilen, ob die ge- stellten Fragen freiwillig oder obligatorisch sind und mit welchen Folgen die Person zu rechnen hat, wenn sie die Angabe verweigert.
69 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.7.6 Personalbewirtschaftungssystem der Bundesverwaltung Die Überprüfung des Datenverarbeitungssystems der Bundesverwal- tung BV PLUS hat beim systemverantwortlichen Eidgenössischen Per- sonalamt und beim Personaldienst der Bundeskanzlei als Endbenutzer keine wesentliche Probleme ans Tageslicht gebracht. Im Kompetenzbe- reich des Bundesamtes für Informatik ist die Überprüfung noch nicht abgeschlossen. Im Rahmen unserer Tätigkeit als Datenschutzaufsichtsbehörde überprüften wir Ende 2007 bei den systemverantwortlichen Stellen sowie bei einem End-User die Einhaltung der Datenschutzbestimmungen bei der Anwendung des Datenverarbeitungssystems BV PLUS. Bei den überprüften, systemverantwortlichen Stellen handelt es sich um das Eidg. Personalamt (EPA) und das Bundesamt für Informatik und Technologie (BIT), beim Endbenutzer um den Personaldienst der Bundeskanzlei. Die Überprüfung hat sich auf die Fragenkomplexe der Datensicherheit und des Datenkatalogs beschränkt. Beim Endbenutzer tauchten keine nennenswerten datenschutzrechtlichen Probleme auf, weshalb die Überprüfung rasch erfolgreich abgeschlossen werden konnte. Beim EPA stellte sich die Frage, ob eine Einwilligung der Mitarbeitenden in die Ab- wicklung der Mitgliederbeitragszahlungen an Verbände mittels BV PLUS vorliegt. Nach Angaben des EPA geben die Mitarbeitenden den Verbänden bei Verbandsbeitritt schriftlich ihr Einverständnis, dass ihre Verbandsmitgliedschaft dem entsprechenden Personaldienst der Bundesverwaltung bekannt gegeben wird. Kopien der Einwilli- gungserklärungen seitens der Verbände erhält der Personaldienst jedoch nicht. Wir haben daher das EPA angewiesen, den Departementen zu empfehlen, solche Kopien zu verlangen. Beim BIT stellten wir in verschiedenen Gebieten Verbesserungspotential fest. Im Be- reich Organisation fiel uns auf, dass das vor Jahren erstellte Bearbeitungsreglement kaum nachgeführt wurde. Auch fehlt ein Sachverständiger für Daten- oder Informati- onssicherheit im Bereich SAP. Ausserdem haben wir angeregt, die Lohndaten der in Bern steuerpflichtigen Bundesangestellten auf ihrem Weg zur Steuerverwaltung des Kantons Bern verschlüsselt zu übertragen. Des Weiteren wurde dem BIT empfohlen, die Up- und Downloads von Daten vom Zentralrechner auf den Arbeitsplatzrechner ei- nerseits sowie die Zugriffe von Benutzern mit erhöhten Systemprivilegien andererseits zu protokollieren und periodisch auszuwerten.
70 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.8 Handel und Wirtschaft 1.8.1 Revision des Schuldbetreibungs- und Konkursrechts Die Anzeige von Daten auf dem Betreibungsregisterauszug ist gegen- wärtig unserer Ansicht nach zu undifferenziert geregelt. Daher haben wir im Rahmen der Ämterkonsultation zur Revision des Schuldbetrei- bungs- und Konkursrechts (Sanierungsverfahren) vorgeschlagen, die Anzeigefristen anzupassen. Wir sind der Meinung, dass deren Staffe- lung auf der einen Seite den datenschutzrechtlichen Anforderungen besser entspricht und auf der anderen Seite Anreize liefern kann, of- fene Rechnungen schneller zu begleichen. Gemäss der derzeitigen gesetzlichen Regelung informiert der Betreibungsregisteraus- zu g fünf Jahre lang über Betreibungsdaten. Lediglich in drei Ausnahmefällen wird überhaupt keine Auskunft erteilt: a. wenn die Betreibung nichtig oder aufgrund einer Beschwerde oder eines Urteils aufgehoben worden ist; b. wenn der Schuldner mit einer Rückforderungsklage obsiegt hat, oder c. wenn der Gläubiger die Betreibung zurückgezogen hat. In der heutigen Praxis werden selbst diejenigen Betreibungen, welche nicht fortgesetzt werden (immerhin gut ein Drittel aller eingereichten Betrei- bungen), fünf Jahre lang im Betreibungsregisterauszug aufgeführt. Dasselbe gilt für ordnungsgemäss bezahlte Betreibungen (zwar als «erledigt» vermerkt). Eine solche wenig differenzierte Regelung erscheint aufgrund der Sensitivität von Betreibungsre- gisterdaten unangemessen und aus datenschutzrechtlicher Sicht unverhältnismässig. In der Praxis wird in vielen Kantonen ohne anderlautenden Wunsch bereits heute le- diglich über die letzten drei Jahre Auskunft erteilt. Dies erscheint auf der einen Seite nicht ausreichend (so werden zum Beispiel bei Grundpfandbetreibungen mit einem Rechtsstreit noch laufende Betreibungen oft nicht mehr angezeigt) und auf der ande- ren Seite zu weitreichend (es ist beispielsweise nicht ersichtlich, warum erledigte Be- treibungen während fünf Jahren im Betreibungsregister aufgeführt werden sollten). Wir schlagen zur Realisierung eines zeitlich gestaffelten Einsichtsrechts vor, dass Art. 8a Abs. 4 des Schuldbetreibungs- und Konkursrechts (SchKG) wie folgt geändert wird: «Das Einsichtsrecht Dritter erlischt ein Jahr nach Abschluss des Verfahrens, wenn die Betreibung gemäss Art. 12 Abs. 2 SchKG erledigt wurde. Es erlischt drei Jahre nach Abschluss des Verfahrens, wenn die Betreibung gemäss Art. 88 SchKG nicht fortge- setzt wurde. In allen anderen Fällen erlischt das Einsichtsrecht Dritter fünf Jahre nach Abschluss des Verfahrens. Gerichts- und Verwaltungsbehörden können im Interesse eines Verfahrens, das bei ihnen hängig ist, weiterhin Auszüge verlangen.»
71 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Der finanzielle Leumund einer betroffenen Person spielt in der Geschäftswelt eine nicht zu unterschätzende Rolle. Insbesondere im Rahmen der immer stärkeren Ver- breitung von Kreditauskünften gewinnt der finanzielle Leumund an Bedeutung. Auf- grund des immer transparenter werdenden Zahlungsverhaltens der betroffenen Per- sonen werden die entsprechenden Informationen immer sensibler. Durch diese Neuregelung würde der Leumund von Schuldnern, welche ihre Schuld durch Zahlung beglichen haben, bereits nach einem Jahr wieder hergestellt. Hingegen bli eben fruchtlose Betreibungen volle fünf Jahre im Betreibungsregister aufgeführt. Eine solche Regelung trägt zum einen den heutigen Gegebenheiten besser Rechnung und kann zum anderen bei betroffenen Schuldnern durchaus auch die Anreizwirkung entfalten, im Interesse ihres finanziellen Leumunds ihren Verpflichtungen schneller nachzukommen. 1.8.2 Private Publikation von Handelsregisterdaten Die Publikation von Handelsregisterdaten durch Private im Internet fördert die Öffentlichkeitswirkung des Handelsregisters und ist daher vom Bundesverwaltungsgericht als rechtmässig beurteilt worden. Wir sind allerdings der Meinung, dass die Öffentlichkeitswirkung nicht mit einer maximalen Publizitätswirkung gleichzusetzen ist. Daher fordern wir private Anbieter von Handelsregisterdaten auf, Massnahmen zu er- greifen, welche zu einer geringeren Publizität führen. Gemäss dem Urteil des Bundesverwaltungsgerichts vom 26. Februar 2008 wird die Bearbeitung und unbeschränkte Speicherung der Handelsregisterdaten durch private Anbieter gutgeheissen. Das öffentliche Weiterverbreitungsinteresse an Handelsregi- sterinformationen bestehe zeitlich unbeschränkt und unabhängig davon, ob die Da- tenquelle öffentlichen oder privaten Ursprungs ist, solange die Daten inhaltlich nicht verändert werden. Trotz des Urteils hat einer der wichtigsten privaten Anbieter von Handelsregisterinfor- mationen im Web in der Schweiz einige unserer zentralen Forderungen freiwillig um- gesetzt. So ist es praktisch nicht mehr ohne Login möglich, nach Personen zu suchen oder nach Unternehmen, die gelöscht wurden. Dennoch stören sich nach wie vor viele Personen daran, dass bei Internetrecherchen nach dem Namen natürlicher Personen oder Unternehmen Handelsregisterinforma- tio nen von Wirtschaftsauskunfteien an prominenter Stelle erscheinen, welche zum Teil nicht mehr aktuell sind. Insbesondere bei Konkursen haben die Betroffenen ein grosses Interesse, dass diese Daten nicht prominent auf Suchmaschinen erscheinen.
72 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Wir anerkennen die Öffentlichkeitswirkung des Handelsregisters, welche im Obligati- onenrecht gesetzlich verankert ist. Zur Vereinfachung des freien Wirtschaftsverkehrs erfüllt ein für jedermann frei und einfach zugängliches Handelsregister seinen Zweck in der jetzigen Form. Dennoch ist die Öffentlichkeit des Handelsregisters nach Ansicht des EDÖB nicht mit einer grösstmöglichen Publizität gleichzusetzen. Private Anbieter von Handelsregisterinformationen haben ein Interesse daran, dass ihre Webseite möglichst oft besucht wird, um so Werbeeinnahmen zu generieren. Aus diesem Grund optimieren sie meist ihre Webseiten dahingehend, dass sie in Suchma- schinen möglichst oft gefunden werden. Folglich tauchen bei der Suche nach einer Firma über eine Suchmaschine an prominenter Stelle die sie betreffenden Handelsre- gistereinträge auf. Diese grösstmögliche Publizitätswirkung ist nach unserer Meinung ni cht mehr vom Zweck des Handelsregisters gedeckt und stellt daher eine wider- rechtliche Datenbearbeitung dar. Aus diesem Grund werden wir im laufenden Jahr diese Thematik erneut aufgreifen, um die Persönlichkeit der betroffenen Personen besser zu schützen, ohne dabei die Öffentlichkeitswirkung des Handelsregisters ein- zuschränken. 1.8.3 Auskunfts- und Löschungsrecht bei Handelsfi rmen Auf zahlreiche Beschwerden hin haben wir bei gewissen Handelsfi rmen – namentlich im Versandhandel – interveniert, um sie auf ihre Pfl icht zur Einhaltung des DSG und insbesondere zur Gewährleistung des Aus- kunfts- und Löschungsrechts auf Verlangen der betroffenen Personen hinzuweisen. Gemäss DSG dürfen Handelsfirmen keine Daten gegen den ausdrücklichen Willen der betroffen en Person bearbeiten und insbesondere keine Werbesendungen an Per- sonen richten, die dies ausdrücklich abgelehnt haben. Die betroffene Person kann also jederzeit die Löschung ihrer Personendaten verlangen, wenn diese Marketingzwe- cken dienen. Die Verwendung der Adresse zu Werbezwecken kann von Anfang an ge- nerell untersagt werden (etwa durch Anbringen eines Sternchens im Telefonbuch oder durch Eintrag in der Robinson-Liste) oder nachträglich mit einem besonderen Verbot belegt werden. Dies ist namentlich der Fall, wenn der Empfänger die Werbesendung mit einer besonderen Anmerkung an den Absender zurückschickt. Zudem ist jeder Inhaber einer Datensammlung aufgrund des DSG verpflichtet, jeder betroffenen Person auf Verlangen die über sie vorhandenen Personendaten, den Zweck und gegebenenfalls die Rechtsgrundlage des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Daten- empfänger mitzuteilen. Dieses Verfahren ist in der Regel kostenlos.
73 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Wir haben verschiedene Unternehmen angeschrieben, um sie auf ihre gesetzlichen Verpflichtungen zur Löschung der Daten auf Verlangen der betroffenen Personen und zur Beantwortung der Auskunftsgesuche entsprechend dem Gesetz aufmerksam zu machen. Ausserdem haben wir die fraglichen Unternehmen darauf hingewiesen, dass die betroffenen Personen gegebenenfalls die Möglichkeit haben, ihre Rechte vor Ge- richt geltend zu machen. In einigen besonderen Fällen haben wir auch die Möglichkeit, den Sachverhalt abzuklären und für Unternehmen, die diese Rechte nicht beachten, Empfehlungen abzugeben. 1.8.4 Empfehlung in Sachen Mietercheck Im Verlauf des Jahres 2008 haben wir bei einer Wirtschaftsauskunftei e ine Sachverhaltsabklärung durchgeführt. Die betreffende Firma bie- tet neu eine Dienstleistung an, welche es Vermietern ermöglichen soll, Mieterangaben zu prüfen und das Risiko von Mietzinsausfällen zu ver- mindern. Mängel haben wir bei der Bonitätsrelevanz der angebotenen Daten und bei der Gewährung des Auskunfts- und Löschungsrechtes festgestellt. Deshalb haben wir eine Empfehlung erlassen. Eine Wirtschaftauskunftei bietet neu unter dem Namen Mietercheck eine Dienstlei- st ung an, mit welcher Vermieter online Auskünfte über potentielle Mieter einholen können. Damit soll es Vermietern möglich sein, Mieterangaben zu prüfen und Miet- zinsausfälle zu verhindern. Zur Einschätzung der Bonität potentieller Mieter benutzte Mietercheck einen Score, der nicht nur die Daten der betroffenen Person, sondern auch jene ihres Umfeldes aus wertete. Mietercheck bewertete die betroffenen Personen mit einem Ampelsy- stem und bot den Vermietern Handlungsanweisungen hinsichtlich des Vertragsab- schlusses an. Durch eine betroffene Person auf den Mietercheck aufmerksam gemacht, nahmen wir umgehend mit der Firma Kontakt auf. Gleichzeitig rückte die Datenbearbeitung der Wirtschaftsauskunftei in den Medienfokus. Wie eine Sachverhaltsabklärung zeigte, hat die Firma inzwischen einige Anpassungen an ihrer Dienstleistung vorgenommen. So wurden insbesondere der Score und die soziokulturellen Daten entfernt. Dennoch hat unsere Abklärung ergeben, dass die Da- tenbearbeitung nicht datenschutzkonform ist, weshalb wir mehrere Empfehlungen erlassen haben.
74 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Die Firma sollte erstens die Bewertung der Zahlungserfahrungen transparenter ge- stalten. Für die betroffene Person ist nämlich weder erkennbar, wie ihre Zahlungser- fahrungen eingestuft werden, noch dass der Mietercheck diese zusätzlich mit einer Ampel bewertet. Zweitens ist die Bonitätsbewertung einer Person aufgrund ihrer Beziehungen zu einer Firma auf jene Fälle zu beschränken, welche die Bonität der betroffenen Person tat- sächlich beeinflussen. Denn nicht jede Beziehung einer Person zu einer Firma muss bonitätsrelevant sein. Drittens müssen diese Beziehungen für die betroffene Person und die Kunden er- kennbar sein. Schliesslich haben wir erkannt, dass eine generelle Verknüpfung von Personendaten mit Firmendaten unverhältnismässig ist. Viertens haben wir empfohlen, dass die Firma nicht mehr alle bekannten Adressen einer Person auflistet und hieraus die durchschnittliche Wohndauer berechnet. Die Dauer eines Mietverhältnisses kann von Faktoren abhängen, die nicht mit Zahlungs- schwierigkeiten in Zusammenhang stehen, wie etwa die Arbeit des Mieters inklusive seiner Familienmitglieder, das Lebensumfeld, das Wohnungsangebot etc. Zum einen ist die durchschnittliche Wohndauer kein bonitätsrelevantes Datum und zum anderen lässt sich aus ihr auch nicht schliessen, dass der Mieter ein potentieller «Mietnomade» sei. Zudem haben wir darauf hingewiesen, dass die Angaben über Wohnsitzwechsel über mehrere Jahre hinweg als Persönlichkeitsprofil zu werten sind. Fünftens haben wir die Entfernung der Bonitätsdaten von Personen verlangt, die mit ein em potentiellen Mieter im selben Haushalt wohnen. Die Verknüpfung von Boni- tätsdaten aller in einem Haushalt lebenden Personen mit Daten der abgefragten Per- son ist unseres Erachtens unverhältnismässig. Einerseits spielen die Bonitätsdaten der Mitbewohner nur dann eine Rolle, wenn der Mietvertrag von diesen Personen mit unterzeichnet wird. Anderseits sind ihre Bonitätsdaten grundsätzlich nicht dazu geeignet, Rückschlüsse über die Kreditwürdigkeit der abgefragten Person zu ziehen. Ausserdem ist letztere nicht in der Lage, zu erkennen, dass die Datenbank ihre Daten mit den Daten aller mit ihr im Haushalt lebenden Personen verknüpft. Die sechste Empfehlung bezieht sich auf die Erteilung des Zuganges zur Datenbank. Wir haben gefordert, dass der Zugang nur zweckentsprechend, d.h. nur professio- nellen Vermietern gewährt werden darf. Einer Mieterkautionsversicherung, die selber nicht professioneller Vermieter ist, darf die Firma nur jene bonitätsrelevanten Daten anbieten, welche die Versicherung für den Abschluss oder die Abwicklung ihrer Ver- träge benötigt.
75 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Mit der jetzigen Abfragemöglichkeit sind bei der Suche mehr Daten als notwendig ab- rufbar. Deshalb haben wir der Auskunftei empfohlen, die Abfrage technisch so einzu- schränken, dass die Kunden stufenweise, je nach Anzahl Suchtreffer, weitere Kriterien eingeben müssen. Schliesslich haben wir das Unternehmen aufgefordert, betroffenen Personen, die ein Auskunftsbegehren stellen, sämtliche Informationen auszuhändigen. Vermieter kö n- nen über Mietercheck Daten von betroffenen Personen abrufen, die diesen bisher nicht mitgeteilt werden. Darunter befinden sich auch Daten, die nur verknüpft sind oder lau- fend aus den Beständen berechnet werden. Die betroffene Person erkennt nicht, wel- che Daten die Firma tatsächlich bearbeitet, und kann deshalb auch nicht hinreichend von ihrem Recht auf Datenberichtigung und Datenlöschung Gebrauch machen. Im Anhang, Ziff. 4.1.6, ist die Empfehlung abgedruckt. Die Firma hat dazu Stellung ge- nommen. Ob die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vor- gelegt wird, ist zum jetzigen Zeitpunkt noch offen. 1.8.5 Bekanntgabe von Personendaten an Dritte durch Vereine und Veranstalter von Sportanlässen Vereine oder Veranstalter eines Anlasses können die Adressen ihrer Mitglieder oder der Teilnehmer nicht ohne weiteres ihren Sponsoren oder anderen Dritten bekannt geben. Eine Bekanntgabe von Personen- daten zu Marketingzwecken kann nur durch die freiwillige Einwilligung nach angemessener Information der betroffenen Personen gerecht- fertigt werden. Wir haben die Verantwortlichen auf die gesetzlichen Voraussetzungen einer Datenbearbeitung aufmerksam gemacht und ihnen empfohlen, ihre Statuten und Reglemente entsprechend anzu- passen. In diesem Jahr sind zahlreiche Beschwerden von Vereinsmitgliedern sowie Teilneh- m ern von Sportanlässen betreffend die Bekanntgabe ihrer Adressen zu Marketing- zwecken an Dritte (Sponsoren, Krankenkassen) bei uns eingegangen. Die betroffenen Personen wurden nicht – oder nur ungenügend – informiert und hatten nicht die Mög- lichkeit, sich einer solchen Bekanntgabe zu widersetzen. Im Anschluss an gewisse zu diesem Thema erschienene Presseartikel erhielten wir überdies zahlreiche Fragen von Vereinen oder Veranstaltern von Sportanlässen. Wir haben die betroffenen Personen und die Verantwortlichen über die gesetzliche Situation in diesem Bereich sowie über ihre Rechte beziehungsweise ihre Pflichten informiert.
76 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Die Verwendung der Personendaten von Vereinsmitgliedern oder Teilnehmern an einer Sportveranstaltung untersteht dem Gesetz über den Datenschutz. Eine Bear- beitung von Personendaten muss auf einem Rechtfertigungsgrund beruhen und den allgemeinen Prinzipien des DSG genügen. Insbesondere müssen die Bekanntgabe der Daten und ihre Zweckbestimmung für die betroffenen Personen erkennbar sein. Die Bekanntgabe darf zudem nicht gegen ihren ausdrücklichen Willen und ohne Recht- fe rtigungsgrund erfolgen. Die Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei ihrer Erhebung angegeben wird, in einem Gesetz vorgesehen ist oder aus den Umständen hervorgeht. Was die Bearbeitung der Daten von Teilnehmern einer Sportveranstaltung anbelangt, können Personen, die sich für einen Sportanlass anmelden, in der Regel damit rech- nen, dass die im Rahmen der Anmeldung übermittelten Daten zu Zwecken verwen- det werden, die unmittelbar mit dem ordentlichen Ablauf der Veranstaltung zusam- menhängen. Zu diesen Zwecken zählen die Zusendung von Informationen über die Organisation des Wettlaufs, die Zuteilung einer Startnummer, die Zeitmessung, das Klassement usw. Die Datenbearbeitung lässt sich in diesem Fall ohne weiteres aus den Umständen ableiten und ist somit erkennbar; eine besondere Information in dieser Hinsicht ist demnach grundsätzlich nicht notwendig. Die Bearbeitung der Personen- daten zu unmittelbar mit der Organisation des Wettlaufs verbundenen Zwecken ist grundsätzlich durch stillschweigendes Einverständnis der Teilnehmer gerechtfertigt. Die Bekanntgabe von Personendaten an einen bestimmten Fotografen, an Sponsoren oder andere Dritte ergibt sich dagegen nicht aus den Umständen und erfordert somit eine spezifische Information. Allein die Einwilligung der betroffenen Personen kann eine Bekanntgabe von Daten an Dritte zu Marketingzwecken rechtfertigen. Das Ein- verständnis ist nur gültig, wenn der Betroffene seinen Willen frei und nach ordnungs- gemässer Information zum Ausdruck bringt. Die betroffenen Personen müssen die Bekanntgabe ihrer Adressen an Dritte verweigern können. Di e betroffenen Personen sollten – spätestens bei der Anmeldung – über die Be- kanntgabe ihrer Personendaten an Dritte, über deren Identität und über die Zweck- bestimmung der Bekanntgabe (z.B. Werbung) informiert werden. Zudem ist ihnen die Möglichkeit zu geben, sich dieser Datenübermittlung zu widersetzen. Die Erwähnung einer Bekanntgabe an Dritte muss für die Betroffenen gut sichtbar sein. Eine blosse Anmerkung ganz am Ende des Teilnahmereglements und ohne Verweigerungsmög- lichkeit entspricht nicht den Datenschutzprinzipien.
77 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Wir haben den Veranstaltern von Sportanlässen empfohlen, auf dem Anmeldeformu- lar zu der Veranstaltung ein Feld vorzusehen, das anzukreuzen ist und bedeutet: «Ja, ich bin mit der Bekanntgabe meiner Personendaten an die Sponsoren zu Marketing- zwecken einverstanden», und im Veranstaltungsreglement genaue Angaben über die Identität der Sponsoren zu machen. Bezüglich der Verwendung der Personendaten von Vereinsmitgliedern gilt: Das Ver- zeichnis der Adressen von Vereinsmitgliedern darf nur an Dritte zu Marketingzwecken weitergegeben werden, soweit diese Bekanntgabe erkennbar ist und die betroffenen Personen ihre Einwilligung gegeben oder sich nicht dagegen ausgesprochen haben. In der Regel empfehlen wir den Vereinen, diese Art der Bekanntgabe in ihren Statuten, zum Zeitpunkt des Beitritts oder auch durch eine besondere Information zu kommuni- zieren. Die Betroffenen müssen ausserdem über ihre Möglichkeit, sich jederzeit einer derartigen Verwendung ihrer Personendaten zu Marketingzwecken zu widersetzen, informiert werden. Detaillierte Informationen zu diesem Thema haben wir im «Merkblatt über den Um- g ang mit Mitgliederdaten in einem Verein» veröffentlicht. Dieses kann auf unserer Webseite www.derbeauftragte.ch unter Dokumentation – Datenschutz – Merkblätter abgerufen werden.
78 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.9 International 1.9.1 Umsetzung Schengen: Der Datenschutz auf Bundesebene Nach unserer Mitarbeit bei der Evaluierung des Schweizer Daten- schutzes durch die Europäische Union haben wir mit dem Aufbau u nserer Aufsichts- und Informationstätigkeiten im Rahmen von Schen- gen begonnen. Wir haben eine Koordinationsgruppe für die Zusam- menarbeit mit den kantonalen Datenschutzbehörden eingesetzt. Zu- dem haben wir eine Kontrolle bei einer diplomatischen Vertretung der Schweiz im Ausland durchgeführt und Informationsdokumente auf unserer Webseite veröffentlicht. Bevor die durch das Beitrittsabkommen zu Schengen (im März 2008 in Kraft getreten) begründete Zusammenarbeit operativ wurde, haben wir uns an der Evaluierung der Fähigkeit der Schweiz zur Umsetzung des Schengener Besitzstands beteiligt. Im Juni 2008 vertrat die Europäische Union die Auffassung, dass insgesamt die auf der Schen- gen-Zusammenarbeit beruhenden Datenschutzanforderungen in der Schweiz erfüllt seien. Damit wurde die Beteiligung der Schweiz am Schengener Informationssystem (SIS) Tatsache. Die Europäische Union hat indessen gewisse Empfehlungen an die Schweiz gerich- tet. Diese betrafen namentlich die Unabhängigkeit der Datenschutzbehörden, deren Z usammenarbeit untereinander, ihre Ressourcen, ihre Kontrolltätigkeiten sowie die Sensibilisierung der Nutzer des SIS und die Öffentlichkeitsinformation. Der Sachver- ständigenausschuss wies insbesondere auf die Notwendigkeit einer grösseren Un- abhängigkeit des EDÖB sowie einer Aufstockung seiner Haushaltsmittel und seines Personalbestands hin, um ihn in die Lage zu versetzen, die ihm in diesem Kontext neu zufallenden Aufgaben wahrzunehmen. In Zusammenarbeit mit verschiedenen Bundesämtern haben wir an der Umsetzung einiger der empfohlenen Massnahmen mitgewirkt. Im Wesentlichen hat der Bundesrat beschlossen, uns ab 2010 drei neue Arbeitsstellen zuzuteilen. Im Rahmen der Revi- sionsvorlage zum Bundespersonalgesetz ist vorgesehen, den Beauftragten für eine Amtszeit von vier Jahren zu ernennen; dies sollte die Gewähr für eine grössere insti- tutionelle Unabhängigkeit des EDÖB bieten. Weitere Massnahmen stehen zur Diskus- sion, wie etwa die Ernennung des Beauftragten durch den Bundesrat mit Ratifizierung durch das Parlament sowie die budgettechnische Funktionsweise der Dienststelle.
79 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Im Anschluss an unsere Mitarbeit bei der Evaluierung durch die Europäische Union haben wir verschiedene Kontrollaktivitäten im Bereich der Datenbearbeitung, der In- formation der SIS-Nutzer und der Sensibilisierung der öffentlichen Meinung eingeführt. Um eine wirksame und zuverlässige Aufsicht zu gewährleisten, haben wir insbeson- dere die Zusammenarbeit mit den kantonalen Datenschutzbehörden ausgebaut, die ebenfalls für die Beaufsichtigung der kantonalen SIS-Nutzer zuständig sind. Eine Ko- ordinationsgruppe der schweizerischen Datenschutzbehörden, deren Vorsitz wir füh- ren, dient in Zukunft als Plattform für die Kontroll- und Informationstätigkeiten der erwähnten Behörden im Bereich der Zusammenarbeit Schengen/Dublin. Auf der Grundlage der bei unserer ersten Kontrolle bei der diplomatischen Vertretung der Schweiz in der Ukraine gesammelten Erfahrungen (vgl. Ziff. 1.9.2) werden wir un- sere Aufsichtstätigkeiten fortsetzen und weiter entwickeln. So sollen Inspektionen bei den Bundesorganen, die Daten im Rahmen des SIS bearbeiten, geplant und durchge- führt werden, so etwa beim Bundesamt für Polizei, beim Bundesamt für Migration und bei den diplomatischen Vertretungen der Schweiz im Ausland. Abgesehen von der Beaufsichtigung des SIS und der an der Verwaltung und Nutzung des Systems beteiligten Dienststellen sind wir auch für die Gewährleistung der tat- sächlichen Wahrnehmung der Rechte der von der Bearbeitung von Personendaten Betroffenen zuständig. Daher haben wir ein Informationsblatt über die Rechte der von der Bearbeitung ihrer Personendaten im SIS betroffenen Personen ausgearbeitet und auf unserer Webseite www.derbeauftragte.ch unter Themen – Datenschutz – Schen- gen veröffentlicht.
80 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.9.2 Umsetzung Schengen: Kontrolle des EDÖB bei der Schweizer Vertretung in der Ukraine In unserer Eigenschaft als Aufsichtsbehörde der zur Verwendung des Schengener Informationssystems (SIS) befugten Bundesorgane haben wir bei der diplomatischen Vertretung der Schweiz in Kiew (Ukraine) e ine Kontrolle durchgeführt. Dabei ging es um die Bearbeitungsver- fahren von Personendaten bei der Ausstellung von Visa und Aufent- haltsbewilligungen zum Zwecke der Einreise von Staatsangehörigen von Drittländern in den Schengen-Raum über die Schweiz. Unsere Empfehlungen betrafen hauptsächlich die Ausbildung des zur Nutzung des SIS berechtigten Personals, den Schutz und die technische Sicher- heit der Bearbeitungen von Personendaten, die Verträge mit externen Leistungserbringern und die Wahrnehmung der Rechte der betroffenen Personen. Gegenwärtig prüfen wir die Umsetzung der Empfehlungen in Zusammenarbeit mit dem EDA und dem Bundesamt für Migration. Als Aufsichtsbehörde der Bundesorgane im Datenschutzbereich sind wir beauftragt, di e Bearbeitung von Personendaten des Schengener Informationssystems (SIS) zu kontrollieren, insbesondere die Bearbeitungen durch die zur Nutzung des SIS befugten Bundesorgane, und dies gemäss den aufgrund der Schengen-Zusammenarbeit gel- tenden Anforderungen. Wir führen unter anderem Datenschutzkontrollen bei den di- plomatischen und konsularischen Vertretungen der Schweiz im Ausland durch. Diese Inspektionen beziehen sich auf die Bearbeitungsverfahren von Personendaten bei der Ausstellung von Visa und Aufenthaltsbewilligungen zum Zwecke der Einreise von Staatsangehörigen von Drittländern in den Schengen-Raum. Dieses Verfahren bedingt die Nutzung des SIS durch das Personal der schweizerischen Vertretungen. In diesem Zusammenhang führten wir von Mai bis Oktober 2008 eine Kontrolle bei der diplomatischen Vertretung der Schweiz in Kiew durch. Auf der Grundlage unserer Feststellungen haben wir einen Bericht vorgelegt und Verbesserungsvorschläge sowie Empfehlungen an das Eidgenössische Departement für auswärtige Angelegenheiten (EDA) gerichtet. Diese betrafen zum einen die Ausbildung des zur Nutzung des SIS be- fugten Personals sowie den Schutz von Personendaten und die technische Sicherheit bei ihrer Bearbeitung. Zum anderen äusserten wir uns zur Bearbeitung von Personen- daten durch externe Leistungserbringer (auf Auftrag) und zur wirksamen Umsetzung der Rechte all jener Personen, deren Daten bearbeitet werden. Wir erinnerten insbesondere an die Notwendigkeit einer spezifischen Personalausbil- dung bei den Behörden mit einer Zugriffsberechtigung zum SIS im Rahmen der Durch- führung der Schengen-Zusammenarbeit. Bevor diese Mitarbeiter zur Bearbeitung der
81 16. Tätigkeitsbericht 2008/ 2009 des EDÖB im SIS aufbewahrten Daten befugt sind, müssen sie nämlich über die Sicherheits- und Datenschutzvorschriften angemessen unterrichtet und über die diesbezüglichen Rechtsverletzungen und Strafmassnahmen informiert werden. Wir haben uns für einen verstärkten Schutz bei der Behandlung von Personendaten ausgesprochen, insbesondere bei der Bekanntgabe der von den schweizerischen Ver- tret ungen an die Schweizer Behörden und an Privatpersonen übermittelten Daten, namentlich bezüglich der technischen Sicherheit bei der Datenbekanntgabe über ein gesichertes Verschlüsselungssystem. Des weiteren haben wir die schweizerischen Vertretungen aufgefordert, in ihren Lei- stungsverträgen mit externen Unternehmen zur Vergabe von Aufträgen für gewisse Bearbeitungen von Personendaten Bestimmungen über die Sicherheit und den Schutz dies er Daten vorzusehen (betreffend die Zweckbindung und die Vertraulichkeit der Datenbearbeitung, die technische Sicherheit der Daten, wie etwa die Bekanntgabe mittels eines gesicherten Verschlüsselungssystems, den Schutz gegen ungesetzliches Bearbeiten, die Aufbewahrung und Löschung der Daten usw.). U m schliesslich die Wirksamkeit der Rechte der durch die Bearbeitung von Perso- nendaten betroffenen Personen zu gewährleisten, haben wir empfohlen, das diplo- matische und konsularische Personal über die gesetzlichen Verfahren zur Ausübung der Rechte der von der Datenbearbeitung betroffenen Personen ordnungsgemäss zu informieren. Derzeit koordinieren wir die Umsetzung der Verbesserungsvorschläge und Empfeh- lungen in Zusammenarbeit mit dem EDA sowie mit dem Bundesamt für Migration, das von einigen der Massnahmen ebenfalls betroffen ist.
82 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.9.3 Internationale Zusammenarbeit Personendaten machen nicht an den Landesgrenzen Halt. Zur Gewähr- l eistung eines effektiven Datenschutzes ist es daher entscheidend, dass die nationalen Datenschutzbehörden zusammenarbeiten und auch auf internationaler Ebene aktiv sind. So beteiligen wir uns insbesonde- re an den Arbeiten des Europarates, der Europäischen und der Inter- nationalen Konferenz der Datenschutzbeauftragten, der Frankophonen Vereinigung der Datenschutzbehörden und der gemeinsamen Kontrol- linstanzen von Schengen und Eurodac. Europarat Wir haben an den Arbeiten des beratenden Ausschusses des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Da- ten (Ü bereinkommen 108) und seines Büros mitgewirkt. Der Ausschuss setzte seine Gespräche über das Grundrecht auf Schutz der Daten fort, das in einer verbindlichen Rechtsurkunde verankert werden könnte (beispielsweise im Zusatzprotokoll zur Eu- ropäischen Menschenrechtskonvention EMRK). Obwohl der Ausschuss in seiner Mehr- heit eine solche Urkunde befürwortet, hat er eine vorläufige Unterbrechung der Dis- kussionen beschlossen, um namentlich die Inkraftsetzung des Vertrags von Lissabon abzuwarten, der dieses Grundrecht festschreibt und den Beitritt der Europäischen Instanzen zur EMRK vorsieht. Der Ausschuss, beziehungsweise sein Büro, hat die Arbei- ten zur Abfassung einer Empfehlung aufgenommen, die ausführt, wie im Rahmen einer Erstellung von Profilen verwendete Personendaten zu schützen sind. Die Informati- kinstrumente und Informationstechnologien machen es nämlich möglich, ausgehend von Datenerhebungen Mechanismen zur Kategorisierung von Personen zu schaffen, auf diese Weise Personendaten abzuleiten und Daten betreffend die Interaktionen der einzelnen Personen mit ihrer physischen und digitalen Umwelt zu bearbeiten. Mit- tels dieser Techniken können namentlich die Verhaltensweisen und Gefühlsregungen der Personen aufgezeichnet und leichter interpretiert werden. Die Profilierung kann somit die Würde der Person, ihre Rechte und Grundfreiheiten, einschliesslich ihrer wirtschaftlichen und sozialen Rechte, in schwerwiegender Weise beeinträchtigen. Der Ausschuss hält die Festlegung von Bestimmungen für notwendig, um die Profilie- rungsaktivitäten in einen Regelungsrahmen zu stellen. Schliesslich appellierte der Aus- schuss an das Komitee der Minister, um das Übereinkommen 108 und sein Zusatzpro- tokoll zu fördern, indem es namentlich Drittstaaten zum Beitritt zu diesen Urkunden auffordert, wie es das Übereinkommen gestattet. Der Beitritt von Drittstaaten wäre ein erster Schritt in Richtung einer universellen Urkunde im Bereich des Datenschutzes.
83 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Europäische Konferenz der Datenschutzbeauftragten Die Europäische Konferenz der Datenschutzbeauftragten fand vom 17. bis 18. April 2008 auf Einladung der italienischen Datenschutzbehörde in Rom statt. Die Konferenz ist ein Diskussionsforum zwischen europäischen Datenschutzbehörden zu aktuellen Themen. Sie befasste sich insbesondere mit der Bedrohung der Privatsphäre aufgrund der Sicherheitspolitiken, der Bedürfnisse der Wirtschaft und der technologischen Ent- wicklungen. Sie verabschiedete ausserdem die Geschäftsordnung ihrer Arbeitsgruppe «P olizei und Justiz» und eine Resolution betreffend Personenkontrollen bei der Ein- und Ausreise im Schengen-Raum. Diese Entschliessung fordert die zuständigen Stellen auf, die Effektivität und Wirksamkeit der vorhandenen Massnahmen zu prüfen, bevor eine Verstärkung der die Rechte und Grundfreiheiten der Einzelpersonen beeinträchti- genden Massnahmen erwogen wird. Sie verlangt den vorgängigen Nachweis der Not- wendigkeit und Verhältnismässigkeit neuer Massnahmen. Im Rahmen eines Podiums- gesprächs zum Thema Privatsphäre und Sicherheit machten wir die Konferenz auf das wachsende Risiko eines Ungleichgewichts zu Lasten der Rechte und Grundfreiheiten aufmerksam, eine Folge der Sicherheitspolitiken, mit denen das Ziel der Sicherheit dennoch nicht unbedingt erreicht wird. Auch wenn ein ausreichendes Sicherheitsni- veau Voraussetzung für einen wirkungsvollen Schutz der Menschenrechte ist, sollte doch der Umfang der zu ergreifenden Massnahmen neu dimensioniert werden. Zu- dem ist daran zu erinnern, dass Sicherheit auf der Achtung der Rechte und Freiheiten jedes Einzelnen aufbaut. Ohne Datenschutz könnten Sicherheit und Demokratie einem Staat des Misstrauens, der Gewalt und der Repression weichen. Daher ist es unerläss- lich, die bereits getroffenen Massnahmen gründlich auf ihre Wirksamkeit und Effizienz zu prüfen und ihre Auswirkungen zu untersuchen, bevor neue Einschränkungen der Rechte und Grundfreiheiten vorgeschlagen werden. In diesem Rahmen müssen die Datenschutzbehörden ihre Zusammenarbeit verstärken und harmonisierte gemein- same Stellungnahmen herausgeben. Sie müssen vermehrt Informations-, Kommuni- kations- und Sensibilisierungspolitik betreiben und den Prozess mitbestimmen, der in Massnahmen zur Einschränkung der Rechte der Einzelpersonen münden könnte. Arbeitsgruppe «Polizei und Justiz» Wir beteiligen uns regelmässig an den Tätigkeiten der Arbeitsgruppe «Polizei und Ju- stiz» der Europäischen Konferenz der Datenschutzbeauftragten. Diese Gruppe hat die Aufgabe, die gesetzgeberischen Entwicklungen innerhalb der Europäischen Union im Bereich Polizei und Justiz, namentlich in Bezug auf die Entwicklung des Schengen-Be- sitzstandes, zu verfolgen. Sie bemüht sich um Gehör bei den verschiedenen zustän-
84 16. Tätigkeitsbericht 2008/ 2009 des EDÖB digen Behörden in der Europäischen Union und insbesondere beim Europäischen Par- lament. Sie gibt Stellungnahmen und konkrete Vorschläge zur Gewährleistung eines wirksamen Datenschutzes ohne Beeinträchtigung der notwendigen polizeilichen und gerichtlichen Zusammenarbeit ab. Die Gruppe will auch in der Abstimmung der ko- ordinierten Kontrolltätigkeiten zwischen den nationalen Datenschutzbehörden eine Rolle spielen und hat die Ausarbeitung eines Handbuchs für die Durchführung solcher Kontrollen an die Hand genommen. Gemeinsame Kontrollbehörden Schengen und Eurodac Seit dem 12. Dezember 2008 gehört die Schweiz zum Schengen-Raum. So sind wir Mitglieder der gemeinsamen Schengen-Kontrollbehörde (GK) und der Koordinations- gruppe Eurodac geworden, die aus den nationalen Datenschutzbehörden und dem eur opäischen Datenschutzbeauftragten besteht. Diese beiden Kontrollinstanzen er- möglichen einen umfassenden Informationsaustausch über die Auslegung der für Schengen und Dublin geltenden Datenschutzbestimmungen. Die GK hat nament- lich die Aufgabe, die regelmässigen gemeinsamen Kontrollaktivitäten zu koordinie- ren, um die Einhaltung der Datenschutzbestimmungen des Schengen-Abkommens zu überprüfen und die notwendigen Empfehlungen an die Mitgliedstaaten und den europäischen Rat zu richten. Wir haben an einer ersten Inspektion betreffend die Si- gnalemente von verschwundenen oder im Schengener Informationssystem zu schüt- zenden Personen teilgenommen. Die Ergebnisse dieser Inspektion sind noch nicht bekannt. Im Rahmen der Koordinationsgruppe Eurodac haben wir uns an einer Erhe- bung über die Information der betroffenen Personen über ihre Rechte beteiligt. Der Schlussbericht ist noch nicht erstellt worden. Internationale Konferenz der Datenschutzbeauftragten Die 30. Internationale Konferenz der Datenschutzbeauftragten wurde von der Com- mission Nationale Informatique et Libertés (Datenschutzkommission von Frankreich) und dem deutschen Bundesbeauftragten für den Datenschutz und die Informations- freiheit gemeinsam organisiert. Sie fand vom 15. bis 17. Oktober 2008 in Strassburg statt (www.privacyconference2008.org). Unter dem Thema «Der Schutz der Privat- sphäre in einer Welt ohne Grenzen» wirkten rund 570 Teilnehmer aus 60 Ländern der ganzen Welt in Vertretung der Datenschutzbehörden, internationaler Organisationen, verschiedener Sektoren der Wirtschaft und akademischer und wissenschaftlicher Kreise an den Arbeiten mit. Sie pflegten einen Meinungs- und Informationsaustausch über die aktuellen Herausforderungen, die sich für den Datenschutz aufgrund der Si-
85 16. Tätigkeitsbericht 2008/ 2009 des EDÖB cherheitspolitiken, der sozialen Netzwerke, der Erwartungen der Unternehmen und der Wirtschaft im Allgemeinen oder der Digitaltechnologien stellen. Entscheidend er- schien den Teilnehmern die Stärkung des gegenseitigen Vertrauens zur Entwicklung von Lösungen, Instrumenten und Produkten, die dem Recht auf Datenschutz Rech- nung tragen und dessen Erfordernisse einbeziehen. Die Datenschutzbeauftragten ha- ben sieben Resolutionen angenommen. Im Besonderen akkreditierten sie in einem entsprechenden Konferenzbeschluss Kroatien und Burkina Faso; dieser Staat hat als erster in Afrika ein Datenschutzgesetz erlassen und eine unabhängige Aufsichtsbehör- de eingesetzt. Auf gemeinsamen Antrag des EDÖB und der spanischen Datenschutz- behörde nahm die Konferenz eine Entschliessung über die Dringlichkeit des Schutzes der Privatsphäre in einer Welt ohne Grenzen an und erarbeitete einen gemeinsamen Vor schlag zur Erstellung internationaler Normen zum Schutz der Privatsphäre und zum Schutz personenbezogener Daten. Diese Resolution (vgl. Anhang, Ziff. 4.1.7) schliesst an d ie Resolutionen der vorangegangenen Konferenzen und namentlich an die anlässlich der 27. Konferenz verabschiedete Erklärung von Montreux an (vgl. un- seren 13. Tätigkeitsbericht 2005/2006, Ziff. 9.2.1 und 11.2.). Di e Datenschutzbeauftragten erinnerten daran, dass das Recht auf Datenschutz und auf Schutz der Privatsphäre ein Grundrecht jeder Person ist, ungeachtet ihrer Staatsangehörigkeit und ihres Wohnortes, und forderten erneut die Ausarbeitung ei- ner zwingenden Rechtsurkunde im Bereich des Datenschutzes und des Schutzes der Privatsphäre. In diesem Sinne unterstützen sie namentlich die Bemühungen des Eu- roparates im Hinblick auf den Beitritt von Nichtmitgliedstaaten zum Übereinkommen 108 und seinem Zusatzprotokoll. Die Entschliessung beauftragt auch eine Arbeitsgrup- pe, einen gemeinsamen Vorschlag zur Erstellung internationaler Normen zum Schutz der Privatsphäre und zum Schutz personenbezogener Daten auszuarbeiten und der nächsten Konferenz vorzulegen. Die konstituierende Sitzung dieser Arbeitsgruppe, der auch wir angehören, fand am 12. Januar 2009 in Barcelona statt. Sie bot Gelegen- heit, die Arbeitsmethode festzulegen, Sachverständige aus verschiedenen Bereichen anzuhören und eine Bestandesaufnahme der anstehenden Probleme vorzunehmen. Die Konferenz verabschiedete überdies Entschliessungen über die Einrichtung einer Lenkungsgruppe zur Vertretung der Datenschutzbehörden bei Tagungen internatio- naler Organisationen, die Einrichtung einer Webseite der Konferenz, die Prüfung der Einführung eines internationalen Tages oder einer Woche für den Schutz der Privat- sphäre und der personenbezogenen Daten, den Schutz der Privatsphäre von Kindern im Internet (vgl. Anhang, Ziff. 4.1.8) und zum Schutz der Privatsphäre in sozialen Netz- werkdiensten (vgl. Anhang, Ziff. 4.1.9).
86 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Frankophone Vereinigung der Datenschutzbehörden Wir sind auch in der frankophonen Vereinigung der Datenschutzbehörden (Associati- on francophone des autorités de protection des données AFAPDP) tätig, in der wir das Amt eines der drei stellvertretenden Vorsitzenden innehaben. Nach ihrer Gründung am 24. September 2007 in Montreal nutzte die AFAPDP das erste Jahr ihrer Existenz, um sich zu organisieren und erste Tätigkeiten in Angriff zu nehmen, namentlich durch eine Mitwirkung innerhalb der institutionellen Netzwerke des französischsprachigen Raums, um das Recht auf den Schutz der Personendaten als wesentliches Element der heutigen Demokratie zu fördern. Die Vereinigung hat auch mit einem Informations- austausch über die Stellungnahmen der Datenschutzbehörden zu aktuellen Themen begonnen und ein Inventar der Gesetzestexte in den Ländern des französischspra- chigen Raums erstellt. Sie beteiligt sich weiter als Beobachterin an den Arbeiten des Eu roparates. Die AFAPDP hielt am Rande der 30. Internationalen Konferenz ihre 2. Generalversammlung in Strassburg ab. Dieser Versammlung ging eine frankophone Konferenz in Form von Workshops zur Sensibilisierung und Einführung in bewährte Praktiken voraus. Der erste Workshop war der Information der betroffenen Personen über ihre Rechte gewidmet. Ein zweiter Workshop befasste sich mit verschiedenen technischen Aspekten im Zusammenhang mit der Geolokalisierung, der Videoüber- wachung und der Biometrie. So hatten wir die Gelegenheit, unsere Praxis im Bereich Videoüberwachung vorzustellen und auf die verfügbaren Techniken in Sachen Schutz der Privatsphäre aufmerksam zu machen. 1.9.4 Internationale Arbeitsgruppe Datenschutz im Telekommunikationsbereich Zu den von der Berliner Gruppe im vergangenen Jahr angesprochenen T hemen gehörten insbesondere die Problematik der sozialen Netzwerk- dienste im Internet, die Ermittlung von Urheberrechtsverletzungen an den Tauschbörsen sowie die Bewertungsplattformen im Internet. Im Verlauf des Jahres 2008 tagte die Internationale Arbeitsgruppe Datenschutz im Te- lekommunikationsbereich (oder «Berliner Gruppe») im März in Rom und im Oktober in Strassburg. Wegen der geografischen Nähe dieser Veranstaltungen konnte der EDÖB ausnahmsweise an beiden Tagungen teilnehmen. Die Berliner Gruppe hat in Rom ein Dokument zum Thema der sozialen Netzwerk- dienste im Internet (F acebook, Myspace etc.) verabschiedet. In den letzten Jahren sind solche Webseiten vor allem bei den jüngeren Generationen immer beliebter gewor- den. Das besagte Dokument (Rom Memorandum) hat das Ziel, die Risiken aufzuzeigen,
87 16. Tätigkeitsbericht 2008/ 2009 des EDÖB die mit diesen Webseiten unter dem Gesichtspunkt der Privatsphäre einhergehen kön- nen. Es enthält insbesondere eine Anzahl Empfehlungen, die sich an alle betroffenen Akteure richten, d.h. die Gesetzgeber, die Anbieter von sozialen Netzwerkdiensten so- wie natürlich ihre Nutzerinnen und Nutzer. Darüber hinaus fand im Vorfeld zur Herbst- tagung der Berliner Gruppe in Strassburg ein internationales Symposium über den «Schutz der Privatsphäre im Zeitalter der sozialen Netzwerkdienste» statt. Die Thematik der Bearbeitung von Personendaten im Rahmen der Bekämpfung von Ur heberrechtsverletzungen (vgl. unseren 15. Tätigkeitsbericht 2007/2008, Ziff. 1.3.1) sowie die Problematik der Bewertungsplattformen im Internet (vgl. dazu Ziff. 1.3.7) wurden ebenfalls erörtert. Alle von der Arbeitsgruppe veröffentlichten Dokumente können (auf englisch und auf deutsch) auf der Webseite www.iwgdpt.org oder www.datenschutz-berlin.de, Europa/ International – International Working Group on Data Protection in Telecommunications (IWGDPT) abgerufen werden. Auf der Basis des Rom Memorandum hat der EDÖB seinerseits ein Dokument zum Thema der sozialen Netzwerkdienste im Internet ausgearbeitet. Dieses ist auf unserer Webseite www.derbeauftragte.ch unter Themen – Datenschutz – Internet verfügbar.
88 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 2. Öffentlichkeitsgesetz: Jahresbilanz 2008 2.1 Zugangsgesuche bei der Bundesverwaltung Die Anzahl der eingereichten Zugangsgesuche und der Schlichtungsan- träge sind gemäss den Bundesämtern im Vergleich zum Vorjahr leicht zurückgegangen. Dabei stellt sich die Frage, ob tatsächlich alle Zu- gangsgesuche erfasst und gemeldet werden. Der Prozentsatz der voll- ständig oder zumindest teilweise gewährten Zugänge, die uns mitge- teilt wurden, entspricht in etwa jenem des Vorjahres. Bei den Schlich- tungsverfahren liess sich in der Hälfte der Fälle ein für den Antragstel- ler günstigeres Resultat erreichen. Bereits zum dritten Mal mussten uns die Stellen, die dem Öffentlichkeitsgesetz unter- liegen, die Anzahl der eingereichten Zugangsgesuche und deren Beurteilung melden. Gemäss den uns mitgeteilten Zahlen sind im Jahr 2008 bei den Bundesbehörden 221 Zugangsgesuche eingereicht worden. In 115 Fällen gewährten die Behörden einen vollständigen und bei 35 Gesuchen einen teilweisen Zugang. 71 Zugangsgesuche wurden vollständig abgelehnt. Gegenüber dem Vorjahr haben sich diese Zahlen nicht grundlegend verändert (vgl. Statistik Ziff. 3.5). Folgende Aussagen und Bemerkung lassen sich dazu machen:
89 16. Tätigkeitsbericht 2008/ 2009 des EDÖB nicht in die Statistik aufnehmen. Darunter fallen nicht zuletzt Anfragen von Journalisten an die Informations- und Kommunikationsdienste der einzelnen Bundesämter. Zum andern ist nach wie vor davon auszugehen, dass zahl- reiche Zugangsgesuche gar nicht als solche erkannt werden. In der Statistik erscheinen daher nur die aus der Sicht des Bundesamtes «relevanten» Fälle, d.h. jene, die schwierig in der Beurteilung sind oder besonders viel Aufwand verursachen (weil beispielsweise umfangreiche Berichte anonymisiert werden müssen). Die von den Bundesbehörden gemeldeten Zahlen – so unser Fazit – sind mit einer gewissen Vorsicht zu geniessen. Wahrscheinlich werden an die Bundesverwaltung tatsächlich mehr als die in der Statistik ausgewiesenen Zugangsgesuche gestellt und wohl auch positiv beurteilt.
90 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Insgesamt konnten 27 Schlichtungsanträge aus den Jahren 2007 und 2008 abgeschlos- sen werden. In vier Fällen wurde mit den Beteiligten eine Schlichtung erzielt, und bei 16 Schlichtungsanträgen erliessen wir – da keine einvernehmliche Lösung möglich oder von vornherein ersichtlich war – Empfehlungen (z.T. wurden mehrere Schlichtungs- anträge mit einer Empfehlung erledigt). In fünf Fällen kam die Behörde während des hängigen Schlichtungsverfahrens auf ihren negativen Entscheid zurück und gewährte doch noch den gewünschten Zugang. In zwei Fällen kam das Öffentlichkeitsgesetz nicht zur Anwendung. Diese Zahlen lassen folgende Schlüsse und Bemerkungen zu:
Die meisten Empfehlungen wurden von den Antragstellenden und den Bundesämtern akzeptiert; in vier Fällen verlangten die Antragsteller von der Behörde den Erlass einer Verfügung. Unseres Wissens wurde im Be- richtsjahr gegen keine unserer Empfehlungen Beschwerde beim Bundesver- waltungsgericht eingereicht. Mehr als nur eine Bundesbehörde wandte sich während des Schlichtungsverfahrens mit der Bitte an uns, ihnen das (vormals bei ihnen eingereichte) Zugangsgesuch zuzu- stellen, weil es im Amt nicht mehr auffindbar war. Mit Erstaunen nahmen wir zudem Aussagen zur Kenntnis, dass nicht alle Behörden mit einem Dokumentenmanage- mentsystem arbeiten. 2008 sind weniger Schlichtungsanträge als im Vorjahr eingegangen, weshalb ein Teil de r Rückstände abgearbeitet werden konnte. Unbefriedigenderweise hat eine An- tragstellerin oder ein Antragsteller noch immer zu lange auf die Durchführung eines Schlichtungsverfahrens zu warten. Dessen speditive Durchführung hängt allerdings
91 16. Tätigkeitsbericht 2008/ 2009 des EDÖB auch von der Kooperation der involvierten Bundesbehörden ab (z.B. durch umge- hende Einreichung aller notwendigen Dokumente oder Bereitschaft zur Lösungsfin- dung in Schlichtungsverhandlungen). In jenen Fällen, in denen Zugang verlangt zu Do- kumenten wird, die Personendaten Dritter enthalten, wäre es wünschenswert, dass Bundesämter diese Dritten entsprechend den Vorgaben des Öffentlichkeitsgesetzes auch tatsächlich anhören, anstatt den Zugang mit dem Argument des Schutzes der Privatsphäre von vornherein zu verweigern. 2.4 Empfehlungen Nachfolgend werden die im Berichtsjahr erlassenen Empfehlungen im Bereich des Öf- fentlichkeitsgesetzes kurz zusammengefasst. Die vollständigen Versionen sind im Ori- ginal auf unserer Webseite www.derbeauftragte.ch unter Dokumentation – Öffentlich- keitsprinzip zu finden. Drei wichtige Empfehlungen werden im Anhang veröffentlicht. Empfehlung BAG / Vertrag Präpandemieimpfstoff (01. Februar 2008) Das Gesuch eines Pharmaunternehmens um Zugang zu einem Vertrag (Kauf eines Präpandemie-Impfstoffes) mit einem anderen Unternehmen wurde vom Bundesamt für Gesundheit mit Verweis auf eine bereits ergangene Empfehlung in gleicher Sache abgelehnt. In einer neuen Empfehlung stützt der Beauftragte den Entscheid des BAG. Empfehlung BAFU / Adresslisten und Abgabedeklarationen von Deponien und Abfallexporteuren (13. März 2008) Das Bundesamt für Umwelt verweigerte den Zugang zu den besagten Dokumenten. Der Beauftragte empfahl dem Amt, gewisse Adresslisten zugänglich zu machen. Empfehlung Stiftungsaufsicht / Revisionsbericht (11. Juni 2008) Die Eidgenössische Stiftungsaufsicht verweigerte, gestützt auf das Berufs-, Geschäfts- und Fabrikationsgeheimnis, den Zugang zum Revisionsbericht, zur Bilanz sowie zur Er- folgsrechnung einer Stiftung. Der Beauftragte vertritt in seiner Empfehlung die Ansicht, dass der Zugang zu Recht verweigert wurde, da die besagten Dokumente detaillierte Angaben zur Vermögens- und Ertragslage der Stiftung enthalten und für deren Ge- schäftstätigkeit von zentraler Bedeutung sind.
92 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Empfehlung EDA / Projektunterlagen DEZA (28. Juli 2008) Der Antragsteller reichte verschiedene Zugangsgesuche zu laufenden Projekten des Schweizerischen Korps für humanitäre Hilfe (SKH) und der Direktion für Entwicklung und Zusammenarbeit ein (z.B. Tsunami-Wiederaufbau in Südasien). Der Beauftragte hatte letztendlich sechs komplexe Schlichtungsanträge zu beurteilen. In seiner Emp- fehlung gelangte er unter anderem zum Schluss, dass vom Antragsteller zu Recht eine Präzisierung des Zugangsgesuchs verlangt worden war, dass ein Bericht nicht erneut zu überarbeiten ist und dass ein weiterer Bericht anonymisiert werden muss. Die voll- ständige Empfehlung befindet sich unter Ziff. 4.2.1. Empfehlung EDA / Bericht zur schweizerischen Energieaussenpolitik (29. August 2008) Das Eidgenössische Departement für auswärtige Angelegenheiten verweigerte dem Antragsteller den Zugang zu einem Bericht zur schweizerischen Energieaussenpolitik und verwies auf verschiedene Ausnahmeklauseln des Öffentlichkeitsgesetzes. Der Beauftragte gelangte zum Schluss, dass eine Offenlegung von grossen Teilen des Be- richts nicht zu einer Beeinträchtigung der vom EDA vorgebrachten Geheimhaltungs- interessen führt. Er empfahl, nur wenige Passagen abzudecken, ansonsten aber den Bericht zugänglich zu machen. Empfehlung BFS / Statistikgeheimnis (31. Oktober 2008) Die Antragstellerin ersuchte um Zugang zur Statistik über die Erfolgsquote von Matu- randen aus der Westschweiz. Das Bundesamt für Statistik verweigerte den Zugang mit dem Hinweis auf das Statistikgeheimnis gemäss Art. 14 des Bundesstatistikgesetzes (BStatG). Der Beauftragte teilte die Ansicht des BFS und erliess eine entsprechende Empfehlung. Die vollständige Empfehlung befindet sich unter Ziff. 4.2.2 (Französisch). Empfehlung BSV / Ausschreibung für Hörgeräte (28. November 2008) Die Antragsteller wollten Einsicht in zwei Rechtsgutachten zur Ausschreibung für Hör- geräte durch das Bundesamt für Sozialversicherungen nehmen und stellten sowohl beim BSV als auch bei der Wettbewerbskommission (Weko) ein Zugangsgesuch. Der Beauftragte hielt in seiner Empfehlung fest, dass das Öffentlichkeitsgesetz nicht zur Anwendung gelangte, da die ersuchten Dokumente Teil eines laufenden Verfahrens waren.
93 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Empfehlung Stiftungsaufsicht / Aufsichtstätigkeit (11. Dezember 2008) Die Eidgenössische Stiftungsaufsicht verweigerte dem Antragsteller den Zugang zum Dossier über eine Stiftung, insbesondere zu den Akten über die Rückzahlung eines Deliktbetrags durch den ehemaligen Stiftungsratspräsidenten. Wie der Beauftragte in seiner Empfehlung festhielt, überwiegt vorliegend das Interesse der Öffentlichkeit am Zugang zu den besagten Dokumenten klar dasjenige der betroffenen Privaten (z.B. Stiftungsrat, ehemaliger Stiftungsratspräsident) am Schutz ihrer Privatsphäre. Die voll- ständige Empfehlung befindet sich unter Ziff. 4.2.3. Empfehlung armasuisse / Zeughausverkauf (15. Dezember 2008) Der Antragsteller ersuchte bei armasuisse, Eidgenössisches Departement für Verteidi- gung, Bevölkerungsschutz und Sport (VBS) um Einsicht in diverse Dokumente im Zu- sammenhang mit dem Verkauf des Zeughauses in Langnau im Emmental. armasuisse lehnte mit dem Hinweis ab, dass das Zugangsgesuch ein Geschäft betreffe, welches vor dem Inkrafttreten des BGÖ abgewickelt worden sei. Ein Teil der Dokumente wurde jedoch nach dem Inkrafttreten des BGÖ erstellt und auch schon einem Gesuchsteller zugänglich gemacht. Der Beauftragte empfahl daher, mit Verweis auf das Prinzip des gleichen Zuganges für jede Person, dem Antragsteller Einsicht in die die Dokumente zu gewähren. Empfehlung EDA / Visainspektionsberichte (23. Dezember 2008) Das Eidgenössische Departement für auswärtige Angelegenheiten stellte dem Antrag- steller auf Wunsch zwei Visainspektionsberichte von Moskau und Mumbai zu, wobei diese jedoch eingeschwärzte Passagen enthielten. Der Beauftragte hatte zu prüfen, ob diese Passagen zu Recht eingeschwärzt wurden, und empfahl, nur wenige Passagen abzudecken.
94 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 2.5 Schlichtungen In folgenden Fällen konnte eine Schlichtung erzielt werden: Schlichtung BJ / Rassismus-Strafnorm: Der Antragsteller ersuchte beim Bundesamt für Justiz um Zugang zu diversen Unterla- gen bezüglich eines Hearings über die Rassismus-Strafnorm. Nach einer konstruktiven Diskussion in der Schlichtungsverhandlung konnte der Antragsteller sein Gesuch wei- ter konkretisieren und erhielt die noch gewünschten Dokumente zugestellt. Schlichtung EAV / Adressverzeichnisse: Die Eidgenössische Alkoholverwaltung lehnte den Zugang zu Adressverzeichnissen der gewerblichen Brenner sowie der Inhaber von Grosshandelsbewilligungen ab, weil eine gesetzliche Grundlage für die Bekanntgabe von Personendaten an Dritte fehlte. In der Schlichtungsverhandlung konnte auf Vorschlag des Beauftragten eine Einigung erzielt werden. Demnach verfasste der Antragsteller einen Informationsbrief an die gewünschten Adressaten und die EAV versandte diesen Brief. Auf diese Weise musste die EAV dem Antragsteller das Adressverzeichnis nicht bekannt geben. Schlichtung SBF / Maturanden-Statistik: Die Antragstellerin ersuchte das Staatssekretariat für Bildung und Forschung um Aus- kunft über die Erfolgsquoten von Westschweizer Maturanden an öffentlichen und pri- vaten Schulen. Die Beteiligten einigten sich an der Schlichtungsverhandlung darauf, dass die Behörde die privaten Schulen bezüglich der Herausgabe der Statistik anfragt und diese mit dem Einverständnis der jeweiligen Schule der Antragstellerin weiter- leitet. Schlichtung BFS / Stellenbesetzung: D as Bundesamt für Statistik (BFS) verweigerte dem Antragsteller aus Datenschutz- gründen den Zugang zu Informationen betreffend eine Stellenbesetzung im BFS. Nach telefonischer Vermittlung durch den Beauftragten konnten dem Antragsteller die ge- wünschten Dokumente zugestellt werden.
95 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3. Der EDÖB 3.1 WebDatareg: Die Inbetriebnahme des Registers der Datensammlungen Nachdem wir die Anmeldungen von Datensammlungen durch die Bunde- sämter nachgeführt hatten, liessen wir den Privatpersonen und Unter- nehmen, die Bundesaufgaben wahrnehmen, eine Kopie der vorhandenen Anmeldungen zur Überprüfung und gegebenenfalls zur Berichtigung der Daten zukommen. Darauf haben wir die erforderlichen Korrekturen vor- genommen und darüber hinaus den Internet-Teil durch die Einführung eines Moduls erweitert, das die Anmeldung von Datensammlungen durch die zahlreichen externen Bundesorgane ermöglicht. Neben der Onli ne-Registrierung kann man mit dieser Anwendung auch nach be- reits gemeldeten Datensammlungen suchen sowie die Anmeldungen einsehen und ausdrucken. I m Laufe des vergangenen Geschäftsjahrs (vgl. unseren 15. Tätigkeitsbericht 2007/2008, Ziff. 3.1) haben wir bereits alle betroffenen Bundesämter mit dem Intranet-Bereich der Anwendung vertraut gemacht, damit sie noch vor dem Sommer 2008 auf elektro- nischem Weg ihre neuen Datensammlungen anmelden und nötigenfalls bereits vor- handene Anmeldungen ändern könnten. E ntsprechend unserer Planung liessen wir sodann im Frühjahr 2008 allen privaten Unternehmen sowie denjenigen, die Bundesaufgaben wahrnehmen (wie zum Beispiel Krankenkassen und Unfallversicherungen), eine Kopie der vorhandenen Anmeldungen zukommen mit der Bitte, deren Richtigkeit zu prüfen. Dieser umfangreiche Massen- versand (über 600 Sendungen) hatte eine ganze Menge Rücksendungen, Fragen und Probleme zur Folge, sowie eine erhebliche Anzahl Anträge auf Berichtigung der ange- meldeten Daten. Sobald die Neuerungen und Änderungen im Register aufgenommen waren, haben wir die Funktionalitäten des Internet-Teils der Anwendung zusätzlich erweitert und ein Anmeldungsmodul eingeführt für die Datensammlungen der zahl- reichen Bundesorgane die nicht dem internen Netz des Bundes (Intranet) angeschlos- sen sind (so genannte externe Bundesorgane). D er Internet-Teil von WebDatareg ging im November 2008 online. Seither ist es mög- lich, die Datensammlungen mittels eines PDF- oder XML-Formulars beim EDÖB anzu- melden und die Details jeder im Register enthaltenen Anmeldung zu suchen, einzu- sehen und auszudrucken. Nach Eingang einer schriftlichen, unterzeichneten Bestäti- gung, mit der sich der Anmeldende authentifiziert, importieren wir seine Anmeldungs-
96 16. Tätigkeitsbericht 2008/ 2009 des EDÖB daten in das Register und sorgen dabei auch für die Übersetzung der Bezeichnung und des Zwecks der Datensammlung in die beiden anderen Landessprachen (diese Übersetzung wird nur für die Anmeldungen von Privatpersonen gewährleistet; die ex- ternen Bundesorgane haben diese Elemente bereits mitzuliefern). Die Einführung des Internet-Teils von WebDatareg wurde von allen Betroffenen auf Anhieb begrüsst, namentlich wegen seiner stabilen und intuitiven Funktionsweise. Wir haben zudem mit unserem Hosting-Dienstleister, dem Bundesamt für Informatik und Telekommunikation (BIT), ein statistisches Analysemodul definiert, um die Besuchssta- tistiken erstellen und überwachen zu können. Mit WebDatareg können wir nun ein mo- dernes und leistungsfähiges Instrument für die Anmeldung von neuen Datensamm- lungen anbieten, das auch die bequeme Suche nach bereits im Register enthaltenen Sammlungen ermöglicht. Wir sind überzeugt, dass es uns damit gelungen ist, das Re- gister der Datensammlungen als wertvolles Instrument der Öffentlichkeitsinformation zu aktualisieren und aufzuwerten. 3.2 3. Europäischer Datenschutztag Am 28. Januar 2009 fand der 3. Europäische Datenschutztag statt. In diesem Rahmen wurden wiederum mehrere Datenschutzthemen in diversen Radiosendungen in der ganzen Schweiz aufgegriffen. Zudem waren wir an verschiedenen Veranstaltungen präsent. Beweggrund des vom Europarat ins Leben gerufenen Datenschutztages ist die Sen si- bilisierung der Bevölkerung für den Schutz der Privatsphäre. Dieser Schutz hat mehrere Facetten. Zum einen arbeiten Gesetzgeber und Datenschutzbeauftragte an entspre- chenden Rahmenbedingungen für die Bearbeitung von Personendaten. Zum anderen wird im Zusammenhang mit dem Internet das selbstverantwortliche Handeln der ein- zelnen Personen zunehmend wichtiger. So hatte der Vortrag vom EDÖB, Hanspeter Thür, am Europa Institut der Universität Zü- rich die ersten Erfahrungen mit dem revidierten Datenschutzgesetz zum Thema, wäh- rend Radiosendungen in der Deutschschweiz, der französischen und der italienischen Schweiz verschiedene aktuelle Themen aufgriffen, unter anderem soziale Netzwerke im Internet, Cybermobbing und Suchmaschinen. Weitere Themen waren Kundenkar- ten, die geplante Gesundheitskarte und generell die Sensibilisierung der Bevölkerung für den Datenschutz. Letztere ist ein konstantes Ziel unserer Arbeit.
97 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3.3 Publikationen des EDÖB – Neuerscheinungen Unsere Webseite ist ein wichtiges Instrument für die Öffentlichkeitsar- beit. Auch im vergangenen Berichtsjahr haben wir das Angebot an In- formationen stetig erweitert und Ergebnisse unserer Arbeit veröffent- licht. In der Reihe der neuen Publikationen befi nden sich unter ande- rem das «U.S.-Swiss Safe Harbor Framework», Erläuterungen zu «Pay as you drive»-Systemen, Sozialen Netzwerken und andern Internetplatt- formen sowie ein Leitfaden für biometrische Erkennungssysteme. Mit der Revision des Bundesgesetzes über den Datenschutz (DSG) trat auch die revi- dierte dazu gehörende Verordnung Anfang 2008 in Kraft. Wir haben im Berichtsjahr auf unserer Webseite www.derbeauftragte.ch unter Der EDÖB – Rechtliche Grundlagen den Kommentar hierzu veröffentlicht. Zudem haben Inhaber von Datensammlungen neu die Möglichkeit, ihre Verfahren und Produkte sowie ihre Organisation zertifizieren zu lassen. Im letzten Jahr kamen wir dem gesetzlichen Auftrag nach und erliessen Richtlinien, Erläuterungen und weitere Begleitmaterialien für die Datenschutzzertifi- zierung. Sie finden die Dokumente unter Themen – Datenschutz. Die Gesetzesrevision führte weiter zu Änderungen bei der Übermittlung von Perso- nendaten ins Ausland. Unter Themen – Datenschutz – Übermittlung ins Ausland haben wir eine kurze und eine ausführliche Version von Erläuterungen zum Thema aufge- schaltet. Am selben Ort ist auch das in Zusammenarbeit mit dem Seco mit den USA ausgehandelte «U.S.-Swiss Safe Harbor Framework» zu finden. Neue Technologien stellen den Datenschutz vor grosse Herausforderungen. Deshalb haben wir Erläuterungen zu verschiedenen aktuellen Entwicklungen verfasst. Eine sol- che Neuerung sind «Pay as you drive»-Lösungen bei Motorfahrzeugversicherungen. Wo mittels einer Black-Box das Fahrverhalten von Versicherten aufgezeichnet wird, sind die datenschützerischen Grundsätze einzuhalten. Im Bereich des digitalen Fern- se hens gilt dasselbe für die Aufzeichnung des Nutzungsverhaltens von Zuschaue- rinnen und Zuschauern. Hier können sensible Profile über betroffene Personen erstellt werden, die mit besonderer Sorgfalt zu behandeln sind. Ein neues Schlagwort ist der mCommerce – immer mehr Leute nutzen Bezahlsysteme, die es ermöglichen, per Mobiltelefon Rechnungen zu begleichen. Die damit verbundenen Risiken und zu be- achtende Massnahmen haben wir unter dem Titel «Erläuterungen zu Mobile Payment» veröffentlicht. Weiter nutzen immer mehr Menschen die Angebote der Internet-Tele- fonie, das so genannte «Voice over IP» (VoIP). Da hier die Gespräche über die üblichen Internetkanäle erfolgen, besteht ein grosses Risiko der unrechtmässigen Abhörung. Hier müssen gerade einzelne User entsprechende Sicherheitsvorkehrungen treffen.
98 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Das Internet ist auch in anderen Hinsichten ein Thema: Zum einen boomen Soziale Netzwerke wie Facebook oder MySpace mit bereits mehr oder weniger bekannten Risiken für die Persönlichkeit der betroffenen oder auch unbeteiligter Personen. Zum anderen verbreiteten sich im Berichtsjahr mehrere Bewertungssites auf internationa- ler oder regionaler Ebene, auf denen allerlei beurteilt wurde, vom Nachbarn über die Leistungen der Ärztin bis zur Vorlesung an der Universität. Auch zu diesen Themen legen wir unsere aktuellen Überlegungen dar, und zwar sowohl in entsprechenden Erläuterungen als auch in den beiden Ausgaben unseres Newsletters datum des Be- richtsjahrs. Eine letzte neuere Entwicklung, die uns beschäftigt hat, ist der Jugend- schutz an Automaten. In Deutschland haben Automatenbetreiber und Kreditinstitute Lösungen entwickelt, um auch an Automaten eine wirksame Alterskontrolle durch- führen zu können. Wir betrachten diese Lösungen aus datenschutzrechtlicher Sicht. Zu finden sind alle diese Erläuterungen unter Themen – Datenschutz in den entspre- chenden Unterrubriken. Ein Abbild unserer Zeit ist die zunehmende Tendenz, biometrische Zugangs- und Er- kennungssysteme zu installieren. Deshalb haben wir für Entwickler und Anwender sol- cher Systeme einen entsprechenden Leitfaden publiziert. Er ist unter Dokumentation – Datenschutz – Leitfäden zu finden.
99 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Aufwand nach Aufgabengebiet 3.4 Statistik über die Tätigkeit des Eidgenössischen Daten- schutz- und Öffentlichkeitsbeauftragten (Zeitraum: 1. April 2008 bis 31. März 2009) 0.0%5.0%10.0%15.0%20.0%25.0% Beratung Private Beratung Bund Aufsicht Zs.arbeit mit Kantonen Zs.arbeit mit ausl. Behörden Gesetzgebung Indirektes Auskunftsrecht Register Datensammlungen Information Ausbildung/Referate Schlichtungsverfahren
100 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Aufwand nach Sachgebiet 0.0%5.0%10.0%15.0%20.0%25.0% Grundrechte Datenschutzfragen allg. Arbeitsbereich Gesundheit Versicherungen Justiz, Polizei & Sicherheit InfoKommTec h (IKT) Handel & Wirtschaft Finanzwesen Statistik & Forschung Verteidigung Öffentlichkeitsprinzip Information
101 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Herkunft der Anfragen 0.0%10.0%20.0%30.0%40.0%50.0% Post Fax Telefon Email
102 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3.5 Statistik über die bei den Departementen eingereichten Zugangsgesuche nach Art. 6 des Öffentlichkeitsgesetzes (Zeitraum: 1. Januar 2008 bis 31. Dezember 2008) Departement Anzahl Gesuche Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt / aufgeschoben BK312236 EDA201172 EDI299119 EJPD3419123 VBS181035 EFD18873 EVD11722 UVEK6029265 TOTAL 2008 (in %) 221 (100%) 115 (52%) 71 (32%) 35 (16%) TOTAL 2007 (in %) 249 (100%) 147 (59%) 82 (33%) 20 (8%)
103 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Schweizerische Bundeskanzlei BK Betroffener Fachbereich Anzahl Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt / aufgeschoben BK8602 EDÖB231634 TOTAL312236 Eidgenössisches Departement für auswärtige Angelegenheiten EDA Betroffener Fachbereich Anzahl Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt / aufgeschoben EDA201172 TOTAL201172
104 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Eidgenössisches Departement des Innern EDI Betroffener Fachbereich Anzahl Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt / aufgeschoben GS EDI5410 EBG0000 BAK1010 BAR0000 METEO CH0000 BAG8314 BFS0000 BSV7043 SBF2101 ETH Rat0000 SWISSMEDIC5131 SNF0000 SUVA1010 TOTAL299119
105 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Eidgenössisches Justiz- und Polizeidepartement EJPD Betroffener Fachbereich Anzahl Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt / aufgeschoben GS EJPD5041 BJ4400 FEDPOL5302 METAS0000 BFM151230 BA3030 SIR0000 IGE2020 ESBK0000 ESchK0000 RAB0000 TOTAL3419123 Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport VBS Betroffener Fachbereich Anzahl Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt / aufgeschoben GS VBS/BIG11803 Verteidigung/ Armee 302 1 armasuisse1010 BABS1001 BASPO2200 TOTAL181035
106 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Eidgenössisches Finanzdepartement EFD Betroffener Fachbereich Anzahl Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt / aufgeschoben GS EFD2020 EFV0000 EPA0000 ESTV3210 EZV1001 EAV3102 BBL0000 BIT0000 BPV3030 EFK6510 PUBLICA0000 ZAS0000 TOTAL18873
107 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Eidgenössisches Volkswirtschaftsdepartement EVD Betroffener Fachbereich Anzahl Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt / aufgeschoben GS EVD4400 SECO2200 BBT1001 BLW2110 BVET1001 BWL0000 BWO0000 PUE0000 WEKO1010 ZIVI0000 BFK0000 TOTAL11722
108 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK Betroffener Fachbereich Anzahl Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt / aufgeschoben GS UVEK2011 BAV4121 BAZL201190 BFE2020 ASTRA1010 BAKOM8530 BAFU15663 ARE0000 COMCOM0000 ENSI5320 PostReg1100 UBI2200 TOTAL6029265
109 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 020406080100120140 BK EDA EDI EJPD VBS EFD EVD UVEK TOTA L Zugang gewährtZugang verweigertZugang teilweise gewährt/aufgeschoben Behandlung der Zugangsgesuche
110 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3.6 Statistik über die bei den Parlamentsdiensten eingereichten Zugangsgesuche nach Art. 6 des Öffentlichkeitsgesetzes (Zeitraum: 1. Januar 2008 bis 31. Dezember 2008) Parlamentsdienste PD Betroffener Fachbereich Anzahl Zugang vollständig gewährt Zugang vollständig verweigert Zugang teilweise gewährt / aufgeschoben PD0000 TOTAL0000 3.7 Anzahl Schlichtungsgesuche nach Kategorien der Antragsteller (Zeitraum: 1. Januar 2008 bis 31. Dezember 2008) Kategorie Antragsteller2008 Rechtsanwälte7 Medien6 Privatpersonen (bzw. keine genaue Zuordnung möglich) 6 Interessenvertreter (Verbände, Organisationen, Vereine usw.) 3 Universitäten2 Unternehmen 1 Total25
111 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3.8 Das Sekretatiat des EDÖB Eidgenössischer Datenschutz-und Öffentlichkeitsbeauftragter: Thür Hanspeter, Fürsprecher Stellvertreter: Walter Jean-Philippe, Dr. iur. Sekretariat: Leiter: Walter Jean-Philippe, Dr. iur. Stellvertreter: Buntschu Marc, lic. iur. Einheit 1: 9 Personen Einheit 2: 12 Personen Einheit 3: 2 Personen Kanzlei: 3 Personen
112 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4 Anhänge 4.1 Datenschutz 4.1.1 Erläuterungen zu Sozialen Netzwerken Vorwiegend junge Menschen wickeln heutzutage einen Teil ihres Sozi- allebens im Internet ab. Begünstigt wird dieser Trend durch die rasante Entwicklung im Bereich der neuen Kommunikationstechnologien. Wo immer mehr Privates ins Internet gestellt wird, ist auch der Datenschutz gefordert. Der EDÖB erläutert im vorliegenden Dokument Risiken und Gefahren der Social Networking Sites für die Privatsphäre und gibt an die Adresse der Involvierten Empfehlungen ab für einen verbesserten Schutz der Personendaten. Benutzerinnen und Benutzer des Internets sind zunehmend nicht mehr nur «Kon- sumenten», die von Providern zur Verfügung gestellte Informationen auf statischen Websites suchen und downloaden, sondern benutzen das Internet interaktiver denn je und arbeiten kräftig an dynamischen Websites mit. Diese Entwicklung wird unter dem Begriff Web 2.0 zusammengefasst. Sowohl die steigende Verbreitung der Breit- bandtechnologie, die die Prozesse des Up- und Downloadens bedeutend beschleunigt hat, wie auch die Entwicklung von Social Software hat diese veränderte Nutzung des Internets begünstigt. Immer mehr User sind in der Lage, in entscheidendem Umfang eigene Inhalte ins Internet zu stellen und sich zudem untereinander zu vernetzen. In diesem Zusammenhang sind verschiedene Social Networking Sites (SNS) entstan- den. Es sind dies umfangreiche Portale, in denen sich angemeldete Benutzerinnen und Benutzer treffen, Freundschaften schliessen und Nachrichten, Fotos und Filme aus- tauschen. Dazu füllt man ein persönliches Profi l aus unter Angabe von mehr oder we- niger detaillierten Auskünften über die eigene Person, Vorlieben und Überzeugungen. Die bekanntesten Sozialen Netzwerke (Facebook, MySpace, StudiVZ etc.) gewinnen stetig zahlreiche Neumitglieder hinzu. S NS stellen den Datenschutz vor neue Herausforderungen. Datenschutzgesetze wa- ren ursprünglich darauf ausgerichtet, Personendaten vor der unrechtmässigen oder übermässigen Bearbeitung durch den Staat, später auch durch die Wirtschaft zu schüt- zen. Mit den SNS sind nun zwei grundlegend neue Aspekte aufgetaucht:
113 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
Privatpersonen erhalten einen umfassenden Zugriff auf die Personendaten anderer Privatpersonen. Daraus können verschiedene Risiken entstehen. SNS bergen viele Vorzüge für die Gesellschaft, so zum Beispiel die Möglichkeit, Net- working zu betreiben, Kontakte über Landesgrenzen hinaus zu knüpfen oder eige- ne Inhalte zu publizieren. Es ist daher nicht die Absicht dieser Erläuterungen, SNS grundsätzlich zu verurteilen zu stellen. Das Ziel ist die Sensibilisierung der Behörden, Provider und User für einen korrekten und datenschutzkonformen Umgang mit Perso- nendaten bei Sozialen Netzwerken. Risiken und Gefahren Die Benutzung des Internets ist aus der heutigen berufl ichen und privaten Welt in unseren Breitengraden nicht mehr wegzudenken. Das Medium birgt verschiedene bekannte Gefahren, die auch in Sozialen Netzwerken drohen. Übeltäter können sich dabei die spezifi schen Voraussetzungen der SNS zunut- ze machen. Zu diesen Voraussetzungen gehört unter anderem eine Neubeset- zung der Begriffe Vertrauen und Vertraulichkeit. Wo Freundschaft zunehmend quantitative Aspekte hat, ist es unter Vorspiegelung falscher Tatsachen oder gar Annahme einer falschen Identität einfach, zum «Freund» von jemandem zu werden und also in Besitz von Informationen zu gelangen, die einem das Gegenüber in einem Gespräch von Angesicht zu Angesicht vielleicht nicht mit- teilen würde. Die Behauptung solcher Netzwerke, man verlagere einzig die all- tägliche Kommunikation unter Freunden ins Internet, suggeriert eine Intimität, die in einem weltweiten Medium nicht gegeben ist, zumal wenn die Zugangs- hürden zum Netzwerk niedrig sind. Wer SNS unvorsichtig und ohne Vorkehrungen benutzt, setzt sich folgenden Risiken aus:
114 16. Tätigkeitsbericht 2008/ 2009 des EDÖB serhalb der SNS bekannt gemacht können sie beispielsweise der betroffenen Person erheblich schaden. Solch private Sammlungen ermöglichen auch das Nachverfolgen von Anpassungen, die ein Profi linhaber vornimmt, und die Ka- tegorisierung der Daten nach bestimmten Kriterien, z.B. mittels Suchfunktion. 2. Die SNS-Provider haben Zugriff nicht nur auf die Personendaten, sondern auch auf die Metadaten (Verbindungsdauer, grobe geografi sche Herkunft der IP-Adresse, Verweildauer und Bewegungen auf der Site, etc.). Bei vielen SNS- Anbietern ist unklar, was mit all diesen Daten geschieht. Klar ist: Personen- und Metadaten zusammen können ausführliche Persönlichkeitsprofi le erge- ben, deren Verkauf grosse Gewinne abwerfen dürfte. 3. Fotos mit erkennbaren Personen und zugeordneten Namen dienen der ein- deutigen Identifi kation der Abgelichteten. Mit spezieller Gesichtserkennungs- Software können SNS und andere Plattformen nach spezifi schen Personen abgesucht werden. Diese können dann auch da, wo sie anonym bleiben wol- len, z.B. auf einer Dating-Website, identifi ziert oder dank des Fotos auf der SNS mit ihrem Lebenslauf auf einer Firmenwebsite in Verbindung gebracht werden. 4. In eine ähnliche Richtung geht die Gefahr des CBIR (content based image re- trieval): Die automatische Wiedererkennung von Merkmalen im Hintergrund eines Bildes, z.B. ein spezifi sches Gemälde oder Haus, kann zur geografi schen Lokalisierbarkeit einer Fotosituation führen und die Bekanntgabe der Adresse, Stalking oder andere kriminelle Handlungen zur Folge haben. 5. Einige SNS erlauben weitgehende Verlinkungen mit Profi len oder Email-Adres- sen von Drittpersonen – durchaus auch solchen, die keine Mitglieder des Netzwerks sind – notabene, ohne deren Erlaubnis einzuholen. Dies kann zur Gefahr für die Privatsphäre jeder Person werden. 6. Benutzerkonti können praktisch nicht unwiderrufl ich gelöscht werden (siehe oben Punkt 1). Zum einen werden Profi le z.T. nur «deaktiviert» statt gelöscht. Zum anderen hinterlassen aktive Benutzer viele zusätzlichen Informationen auf anderen Seiten des Netzwerks. Diese allumfassend zu löschen ist prak- tisch unmöglich. So verlieren Benutzerinnen und Benutzer die Kontrolle über ihre Daten.
115 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 7. Weitere Gefahren sind das so genannte Cross Site Scripting und schädliche Software (malware). Unter Ausnutzung von Computersicherheitslücken wer- den bspw. fehlerhafte Programmcodes eingeschmuggelt mit dem Ziel, an sen- sible Daten des Users zu kommen oder seinem Computer oder Profi l Schaden zuzufügen. 8. Benutzer mehrerer SNS können die Bewirtschaftung ihrer Postfächer verein- fachen, indem sie alle in einer einzigen Webapplikation eingeben. So können sie mit einem Benutzernamen und einem Passwort alle aktuellen Nachrichten der eigenen Profi le auf einen Blick einsehen, was praktisch sein mag, jedoch Sicherheitsbedenken weckt. 9. Bei den meisten SNS sind die Registrationshürden sehr niedrig: Man macht einige Angaben zur Person, die nicht verifi ziert werden und also erfunden sein können. Einmal drin, ist es unter Umständen sehr einfach, Kontakte zu schliessen und in die Freundeskreise anderer aufgenommen zu werden. Das birgt Gefahren der Infi ltration dieser Communities zu verschiedenen nega- tiven Zwecken: a. Phishing: Übeltäter können so an zahlreiche Informationen kommen und zielgerichtete Phishing-Attacken lancieren mit dem Ziel, beispielsweise Zu- gangsdaten zu wichtigen Accounts, Bankinformationen etc. zu ergattern. b. Spammer können ebenso Profi le eröffnen wie harmlose Benutzer. Daher droht auch in SNS-internen Kommunikationssystemen das altbekannte Problem des Spamming. c. Identitätsdiebstahl wird einfach gemacht: Man legt sich ein Profi l mit dem Namen einer bekannten Person an und profi tiert von deren Berühmtheit – oder schädigt ihren Ruf durch bösartiges Verhalten. Gleichermassen kann man ein Profi l im Namen einer Person aus Schule oder Nachbarschaft eröffnen und ihr schaden, indem man sie lächerlich macht oder in ihrem Namen Bösartigkeiten verschickt. 10. Cyberstalking ist ein altes Phänomen neu verpackt: Die elektronischen Kon- taktmöglichkeiten der SNS können böswillig dazu benutzt werden, jemanden zu bedrängen. Ausserdem kann die Menge an Daten, die die Benutzerinnen
Benutzerinnen und Benutzer solcher Social Networking Services sollen mit Kampagnen für die Gefahren sensibilisiert werden. Software-Hersteller sollen ermutigt werden, die Sicherheit der Personendaten zu berücksichtigen.
Erhöhte Transparenz: Im Hinblick auf existierende Datenschutzgesetze ist es angebracht, die Datenbearbeitungsmethoden der SNS-Anbieter unter die Lupe zu nehmen und allenfalls Korrekturen anzuregen. Die User sollten klar 1 Folgende Empfehlungen basieren im Wesentlichen auf dem Rome Memorandum der International Working Group on Data Protection in Telecommunications. Siehe bibliografi sche Angaben am Textende.
Vorsicht mit Verboten: Statt die Benutzung von SNS zu verbieten, sollten Schu- len sie (partiell) zulassen; so würde das Social Networking nicht gänzlich unkontrolliert vonstatten gehen. Zudem könnte die Aufklärung von Kindern, Lehrkräften und Eltern damit einhergehen.
Schaffung und Promotion der Möglichkeit für User, unter Pseudonym zu surfen;
Einführung von Bewertungssystemen: Schaffung einer Möglichkeit für die User, sich gegenseitig zu bewerten. Es kann durchaus sinnvoll sein, sich im Kontakt mit Menschen, die man nicht persönlich kennt, auf die Erfahrungen von anderen zu stützen, die sich in solchen Ratings äussern. Die Online-Re- putation gewinnt dadurch an Bedeutung, ein guter Ruf, verdient durch gutes Verhalten, wird erstrebenswert.
118 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
Fragen Sie sich vor der Veröffentlichung immer, ob Sie in einem Bewerbungs- gespräch mit den entsprechenden Daten konfrontiert werden möchten – und zwar auch noch in zehn Jahren. Schon heute suchen angeblich 2/3 der HR- Manager in SNS und Google nach Informationen über Bewerberinnen und Bewerber.
119 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Verschiedene europäische Datenschutzgremien haben sich bereits eingehend mit der Thematik befasst. Weitere Informationen fi nden Sie unter: Frauenhofer-Institut für sichere Informationstechnologie SIT. Privatsphärenschutz in Soziale-Netzwerke-Plattformen. Darmstadt, 23. September 2008 (PDF). http://www.datenschutz-berlin.de/attachments/461/WP_social_network_services.pdf http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_social_networks.pdf http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_reputation_based_system.pdf
120 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4.1.2 Erläuterungen zu Bewertungsplattformen im Intranet (November 2008)
121 16. Tätigkeitsbericht 2008/ 2009 des EDÖB men und veröffentlichen ihn als Expertenmeinung im eigenen Namen. Damit ist der Anbieter – insbesondere in qualitativer Hinsicht – für den Inhalt der Veröffentlichung verantwortlich. Daneben existiert der quantitative Bewertungsansatz, bei dem aus einer Vielzahl von Antworten statistisch signifi kante Ergebnisse abgeleitet werden, um auf deren Basis Schlussfolgerungen über die Qualität von Produkten und Leistungen zu ziehen. Der quantitative Ansatz ist für Anbieter von traditionellen Bewertungen meist zu aufwän- dig und zu kostspielig, da eine grosse Anzahl an Nutzern/Konsumenten befragt wer- den muss. Mit dem Aufkommen des Internets haben quantitative Ansätze an Bedeutung gewon- nen, da die Sammlung von Informationen über ein elektronisches Medium zu gering- sten Kosten möglich ist. Bei der Beurteilung der Qualität solcher quantitativen Erhe- bungen sind die dahinter stehenden mathematischen Modelle bezüglich der Aussage- kraft der Ergebnisse von entscheidender Bedeutung. Somit ist die Qualität der hieraus resultierenden Bewertung von dem Prozess der Datenbearbeitung abhängig, während sie beim qualitativen Ansatz von den Fähigkeiten des Experten abhängt. Durch das Aufkommen von Bewertungswebsites im Internet hat sich eine Misch- form zwischen beiden Evaluationsansätzen entwickelt. Einerseits geben die Web- seiten einen Bewertungsrahmen vor, welcher darauf abzielt, in strukturierter Form Informationen von einer grösseren Anzahl Nutzer zu sammeln, anderseits bieten sie den Nutzern die Möglichkeit, in Kommentarfeldern qualitative Aussagen zu machen. Die Auswertung und Darstellung solcher Evaluationen erfolgt allerdings oft nach dem Muster qualitativer Erhebungen, da meist nicht die notwendige Anzahl an Befragungen erreicht wird, um statistisch signifi kante Aussagen treffen zu können. Doch sind die Evaluatoren vorwiegend nicht speziell befähigte Experten, die aufgrund ihres Wissens und einer Systematik bewerten, sondern gewöhnliche Internetnutzer, die ihre Mei- nung kundtun. In diesem Zusammenhang stellt sich also die Frage, inwiefern die im Rahmen solcher Evaluationen erhobenen Informationen aussagekräftig und repräsentativ sind. 1.2 Bewertungsplattformen im Internet Im Internet fi ndet man verschiedene Formen von Bewertungsseiten. Oft sind diese in anderen Plattformen (wie z.B. online-Shops oder online-Auktionshäuser) integriert. Es gibt aber auch eigenständige, die nur die Bewertung der betroffenen Zielgruppe oder Person zum Zweck haben (wie z.B. Ärztebewertungen, Bewertungen von Unterrichts- kursen, etc.).
122 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.2.1 Integrierte Bewertungsplattformen Integrierte Bewertungsplattformen werden vorwiegend in Verbindung mit dem Kauf eines Produkts (z.B. Kauf über einen Marktplatz, Ersteigerung über ein Auktionshaus) oder einer Dienstleistung (z.B. Nutzung einer Website zum Videosharing) angeboten. Nach der Abwicklung des Online-Geschäfts werden Verkäufer und/oder Kunde bzw. Konsument gebeten, eine Bewertung abzugeben. Diese besteht meist aus einer Note und einem Kommentar. Der Zweck solcher Bewertungsplattformen liegt darin, eine spezifi sche Aktion unmit- telbar zu beurteilen. Die Beurteilung fi ndet direkt nach dem Konsum statt, der Konsu- ment kann dem Produkt oder Service direkt zugeordnet werden. Aus diesem Grund sind integrierte Plattformen in der Regel unproblematisch, solange über die Bewer- tungsfunktion keine ehrverletzenden, unnötig herabsetzenden oder beleidigenden Werturteile a bgegeben werden. Zudem sind solche Bewertungsplattformen technisch meist so ausgestaltet, dass eine Bewertung nur dann möglich ist, wenn zuvor eine Transaktion stattgefunden hat (sei es durch den Konsum eines Videos oder durch den Kauf eines Produkts oder Services). In vielen Fällen kann (z.B. weil die Transaktion ko- stenpfl ichtig ist) zudem eine Bewertung nur dann abgegeben werden, wenn sich der jeweilige Benutzer registriert hat. Aus ökonomischer Sicht bezwecken integrierte Bewertungsplattformen vorwiegend, die Reputation der Anbieter von Produkten oder Services auf der Verkaufsplattform aufzubauen. Da im Internet kaum ein persönlicher Kontakt möglich ist und ein direkter persönlicher Eindruck in der virtuellen Welt schwer zu vermitteln ist, werden Bewer- tungsplattformen beispielsweise genutzt, um beim Konsumenten das Vertrauen in die Verkäufer zu stärken. Damit wird die Unsicherheit der Nutzer reduziert. 1.2.2 Eigenständige Bewertungsplattformen Im Gegensatz dazu haben eigenständige Bewertungsplattformen vorwiegend den Zweck, die Öffentlichkeit über die Qualität einer bestimmten Leistung zu informieren. Die Anwendungsbereiche sind vielfältig und reichen von der Beurteilung von Kochre- zepten und Pauschalreisen bis hin zur Bewertung von einzelnen Firmen und Personen innerhalb einer Kategorie, wie z.B. Ärzte, Lehrer und Professoren. Die einzelnen Bewertungswebsites unterscheiden sich in ihrer Funktionsweise nur unwesentlich. In den meisten Fällen wird auf der Website ein zu bewertendes Ele- ment (z.B. Professor, Kurs, Arzt oder aber auch ein Bild) dargestellt, welches von den Benutzern an Hand eines vorgefertigten Formulars mittels Likert-Skala (z.B. Note 1 bis 6) und Kommentarfeld bewertet werden kann.
123 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Je nach Ausgestaltung der Website können Benutzer selbst das zu bewertende Ele- ment auf der Website eintragen, oder es wird vom Betreiber der Website zur Verfü- gung gestellt. Die nachfolgende Tabelle zeigt, auf welche Arten das zu bewertende Element.publiziert werden kann. Einstellen des zu bewertenden Elements (z.B. Professor, Kurs, etc.) Eingabe durch betroffene Person Eingabe durch Betreiber der Website Eingabe durch Betreiber der Website Tabelle 1: Eingabe des zu bewertenden Elements Um Bewertungen abgeben zu können, müssen sich Nutzer in der Regel auf den Web- sites registrieren. Allerdings ist auf einem Teil der Seiten auch eine anonyme Abgabe von Bewertungen möglich. Die unterschiedlichen Möglichkeiten der Abgabe einer Be- wertung sind in der nachfolgenden Tabelle dargestellt (Tabelle 2). Abgabe der Bewertung Abgabe anonym möglich Abgabe nach Registrierung möglich Abgabe nur aufgrund einer speziellen Berechtigung möglich Tabelle 2: Ausgestaltung der Bewertungsmöglichkeiten Die in den beiden Tabellen aufgeführten Kategorien können zur Klassifi zierung und datenschutzrechtlichen Beurteilung der jeweiligen Bewertungswebseiten beigezogen werden. Je nach Ausgestaltung der Seite stellen sich daher für die Betreiber unter- schiedliche Anforderungen an die Sammlung von Bewertungen sowie deren öffent- liche Bekanntgabe im Internet.
124 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 2 Ausgewählte Beispiele Nachfolgend werden drei verschiedene auf dem Internet verfügbare eigenständige Bewertungswebseiten vorgestellt und beschrieben. 2.1 Bewertung von Bildern und Videos Bestimmte Webpages bieten Personen die Möglichkeit, ein Bild oder Video von sich bzw. von einer anderen Person auf die Website zu stellen und dieses von den Usern bewerten zu lassen. Besucher der Website erhalten zufällig ein Bild oder Video ange- zeigt und werden aufgefordert, dieses mit einer Note zwischen 1 und 10 zu bewerten. Nach der Abgabe der Bewertung wird das bisherige Umfrageergebnis angezeigt. Bei korrekter Verwendung der Website gibt die betroffene Person selbst das zu bewer- tende Element (ein Foto von sich selbst) ein und stellt es den Besuchern der Website zur Bewertung zur Verfügung. Die User können ihre Bewertung nach Betrachtung des Bildes anonym abgeben. Aus datenschutzrechtlicher Sicht ist eine solche Website unproblematisch, solange gewährleistet wird, dass nur die betroffene Person Bilder über sich veröffentlicht. Auf der Website hat der jeweilige User ausschliesslich die Möglichkeit, das ihm angezeigte Bild oder Video zu bewerten. Daher kann die Bewertung auch anonym erfolgen. 2.2 Bewertung von Ärzten Ein anderes Beispiel ist eine Website zur Bewertung von Ärztinnen und Ärzten. Auf einer solchen Seite könnten Besucher zum Beispiel anhand von Name, Vorname, Ort, Kanton und Spezialisierung nach Ärzten suchen und für diese danach in drei verschie- denen Kategorien (Empfang und Team, Verwaltung, Arzt) eine Bewertung abgeben. In jeder Kategorie kann der Besucher den Arzt beispielsweise anhand von einer gewis- sen Anzahl von Kriterien auf einer Likert-Skala von 1 bis 6 (wobei 1 der schlechteste und 6 der beste Wert ist und zudem auch die Bewertung «Keine Meinung» zur Verfü- gung steht) bewerten. Der Name des betroffenen Arztes wird von den Betreibern der Website zur Verfügung gestellt. Die Benutzer der Website können ihre Bewertungen anonym abgeben. Eine Abgabe der Bewertung, ohne jemals bei dem betroffenen Arzt gewesen zu sein, ist ohne weiteres möglich.
125 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Aus datenschutzrechtlicher Sicht können bei diesem Beispiel zwei unterschiedliche Problembereiche identifi ziert werden. Auf der einen Seite ist nicht gewährleistet, dass der betroffene Arzt überhaupt weiss, dass er im Internet evaluiert wird. Auf der an- deren Seite ist es problematisch, dass die Bewertungen anonym abgegeben werden können. Somit ist nicht gewährleistet, dass allfällig geübte Kritik aus unmittelbaren, eigenen Erfahrungen bei dem Arzt erwächst. 2.3 Bewertung von Hochschulkursen Des Weiteren kommen im Rahmen der Bewertung von Lehrern und Professoren Web- seiten auf, über welche registrierte Nutzer Kurse und Dozenten evaluieren können. Hierzu melden sie betreffende Kurse bzw. Dozenten auf der Plattform an und bewer- ten diese dann entsprechend auf einer Likert-Skala von «sehr schlecht» bis «sehr gut» in Kategorien wie «Fairness», «Unterstützung», «Material», «Verständlichkeit», «Spass», «Interesse» und «Verhältnis Aufwand/Note». Zudem hat der Nutzer die Möglichkeit, den Kurs weiterzuempfehlen und einen Kommentar abzugeben. Der Name des Dozenten wird entweder durch diesen selbst oder durch Benutzer der Plattform zur Verfügung gestellt. Die Benutzer der Website können ihre Bewertung nur mit einem Login abgeben. Eine Abgabe der Bewertung, ohne jemals an einem Kurs teilgenommen zu haben, ist ohne weiteres möglich. Kritisch zu betrachten ist aus datenschutzrechtlicher Sicht, dass jeder registrierte Nut- ze r Kurse erfassen kann. So können beispielsweise Kurse von Dozenten ohne de- ren Wissen evaluiert werden, was gegen das Erkennbarkeitsprinzip verstösst. Nutzer können aber auch Kurse bewerten, welche sie nie besucht haben, oder sie können aus persönlichen Gründen übertrieben schlechte Bewertungen abgeben. Zwar ist eine Registrierung auf der Website notwendig, doch der Nutzer kann eine anonyme Email- adresse verwenden und damit letztendlich seine Bewertungen anonym abgeben, ob- wohl die Betreiber der Website dies eigentlich untersagen. 3 Datenschutzrechtliche Grundproblematik und Risiken Datenschutzrechtliche Problematik Jede Veröffentlichung von Personendaten auf einer Webseite stellt eine Datenbearbei- tung gemäss Art. 3 lit. e des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) dar. Für den Betreiber einer Bewertungswebsite spielt es hierbei keine Rolle, ob er selbst (bzw. seine Mitarbeiter) oder Dritte diese Daten bearbeiten. Er muss sich auch deren
126 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Datenbearbeitung zurechnen lassen, da er das Raster vorgibt und somit massgeb- lichen Einfl uss auf die Bewertung und die Darstellung der Ergebnisse nimmt. Zudem ist er (gemäss Art. 3 lit. i DSG) Inhaber der Datensammlung, entscheidet er doch über deren Zweck und Inhalt. Dabei gilt es zu prüfen, ob die Grundsätze der Datenbear- beitung, insbesondere deren Erkennbarkeit (Art. 4 Abs. 4 DSG), eingehalten wurden. Zudem bedarf es, wenn kein überwiegendes privates oder öffentliches Interesse und keine gesetzliche Grundlage vorliegen, für die Datenbearbeitung der Einwilligung der betroffenen Person (Art. 13 DSG). Für den Betrieb von Bewertungswebseiten ist kein Rechtfertigungsgrund ersichtlich, darum ist grundsätzlich die Einwilligung der betrof- fenen Person notwendig. Persönlichkeitsrechtliche Problematik Für eine persönlichkeitsrechtliche Beurteilung von Bewertungswebseiten braucht es gru ndsätzlich eine Grundrechtsabwägung zwischen der freien Meinungsäusserung und den Persönlichkeitsrechten der betroffenen Person. Bei der freien Meinungsäusserung wird grundsätzlich zwischen Tatsachenbehaup- tungen und Werturteilen unterschieden. Tatsachenbehauptungen müssen der Wahr- heit entsprechen, beweisbar sein und werden grundsätzlich nicht als persönlichkeits- verletzend eingestuft. Werden jedoch Tatsachen behauptet, welche nicht allgemein bekannt und von sensiblem Gehalt sind, kann deren Veröffentlichung die Privatsphäre der betroffenen Person verletzen. Werturteile sind im Vergleich hierzu Äusserungen persönlicher Ansichten oder Schluss- folgerungen über eine bestimmte Person oder einen Sachverhalt. Gemäss ständiger Rechtssprechung durch das Bundesgericht sind Werturteile zulässig, solange diese vertretbar erscheinen und nicht unnötig herabsetzend oder beleidigend sind. Bei den auf eigenständigen Bewertungswebseiten dargestellten Evaluationsergebnis- sen handelt es sich meist um Werturteile, da in der Regel weder die Erhebungsarten (in quantitativer oder qualitativer Hinsicht) anerkannten statistischen Methoden genügen noc h die Evaluatoren eine ausreichende inhaltliche Nähe zum beurteilten Element aufweisen, um die Ergebnisse als Tatsachenbehauptungen zu qualifi zieren. Resultiert daraus eine Persönlichkeitsverletzung, muss der Betreiber der Website dafür gerade- stehen.
127 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3.1 Risiken für Betreiber von Bewertungsplattformen Für die Betreiber bestehen je nach Art der Bewertungsplattform unterschiedliche da- tenschutzrechtliche Risiken, welche anhand der Kategorisierungen in Tabelle 1 und Ta belle 2 sowie der Art der Evaluation (quantitativ, qualitativ, ereignisbezogen) be- schrieben werden können. Risiken aufgrund einer fehlenden Erkennbarkeit/Zustimmung der Datenbearbeitung Damit eine betroffene Person durch eine Datenbearbeitung bedingte Persönlichkeits- verletzungen frühzeitig erkennen kann, schreibt das DSG in Art. 4 Abs. 4 vor, dass die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein muss. Aus diesem Grund muss der Betreiber der Bewertungsplattform dafür sorgen, dass eine betroffene Person die Datenbearbeitung im Vornherein erkennen kann. F alls die zu evaluierenden Informationen von der betroffenen Person selbst veröffent- licht worden sind, kann der Betreiber der Plattform von deren Zustimmung ausgehen. Werden hingegen die zu evaluierenden personenbezogenen Informationen durch den Betreiber oder einen beliebigen User auf der Plattform veröffentlicht, ist dies für den Betroffenen erst einmal nicht erkennbar. Wenn der Betreiber in einem solchen Fall die betroffenen Personen nicht informiert und ihre Einwilligung nicht einholt, verletzt er gemäss Art. 12 Abs. 2 lit. a DSG (i.V.m. Art. 4 Abs. 4 DSG) bzw. Art. 12 Abs. 2 lit. b DSG deren Persönlichkeit. Wenn besonders schützenswerte Personendaten oder Persön- lichkeitsprofi le bearbeitet werden, muss gemäss Art. 4 Abs. 5 DSG die Einwilligung aus- drücklich erfolgen. In anderen Fällen kann sie implizit geschehen, wenn gewährleistet ist, dass die betroffene Person angemessen informiert wurde und freiwillig einwilligt. Risiken aufgrund von persönlichkeitsverletzenden Evaluationen Evaluationen auf Bewertungswebseiten sind in der Regel als Werturteile zu qualifi zie- ren (siehe oben) und dürfen nicht unnötig herabsetzend oder beleidigend sein. Der Be- treiber einer solchen Seite gibt die einzelnen Evaluationen in der Regel nicht selbst ei n und aggregiert sie meist automatisiert. In der Folge kann er nicht abschätzen, ob die auf seiner Webseite präsentierten Evaluationsergebnisse unnötig herabsetzend oder be- leidigend sind (z.B. wenn Evaluationsergebnisse von bestimmten Nutzern ungerecht- fertigt negativ beeinfl usst werden). Je weniger statistisch signifi kant die Evaluation ist und je grösser die inhaltliche Distanz zwischen Evaluator und Evaluationsobjekt, desto höher ist auch das Risiko einer Persönlichkeitsverletzung der betroffenen Person.
128 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Persönlichkeitsverletzungen können weiter durch die Eingabe von unnötig herabset- zenden oder beleidigenden Kommentaren auf der Bewertungswebseite entstehen. Der Betreiber der Seite muss ausreichende Vorsichtsmassnahmen treffen, um ent- sprechende Kommentare umgehend zu löschen. Die Risiken solcher Persönlichkeitsverletzungen steigen, wenn Bewertungen anonym abgegeben werden können. Bei registrierten Benutzern ist dieses Risiko geringer, be- steht aber weiter, da meist eine Registrierung unter Verwendung einer falschen Emai- ladresse möglich ist. 3.2 Risiken für betroffene Personen Die von einer Evaluation betroffene Person kann in ihrer Persönlichkeit verletzt wer- den, insbesondere, wenn die Ergebnisse ein falsches Bild abgeben oder wenn Nutzer systematische Falschbewertungen vornehmen. Die Gefahr einer falschen Tatsachen- behauptung ist umso grösser,
129 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Kann der Nutzer hingegen seine Bewertung anonym abgeben, ist für ihn das Risiko, belangt zu werden, gering. Dennoch muss er sich bewusst sein, dass es theoretisch über seine IP-Adresse möglich ist, ihn nach Abgabe der Bewertung zu identifi zieren. 4 Massnahmen und Empfehlungen Grundsätzlich sollten Betreiber ihre Bewertungsplattformen so ausgestalten, dass das Risiko einer Datenschutz- bzw. Persönlichkeitsverletzung möglichst minimiert wird. Droht eine Persönlichkeitsverletzung, müssen sowohl der Betreiber als auch die be- troffene Person schnell handeln, um Schaden für alle Beteiligten abzuwenden oder zu begrenzen. Zur datenschutzkonformen Ausgestaltung der Datenbearbeitung stehen dem Betreiber, der betroffenen Person und dem Nutzer der Bewertungsplattform die nachfolgend beschriebenen Möglichkeiten zur Verfügung. 4.1 Massnahmen für den Betreiber der Bewertungswebseite Grundsätzlich muss der Betreiber einer Bewertungswebseite diese so ausgestalten, dass Persönlichkeitsverletzungen möglichst verhindert werden. Um die je nach Aus- gestaltung der Webseite zu treffenden Massnahmen zu identifi zieren, werden die Ka- tegorisierungen von Tabelle 1 und Tabelle 2 herangezogen. 4.1.1 Die betroffene Person initiiert die Evaluierung und gibt sie frei Wenn die betroffene Person das zu bewertende Element auf eine Webseite lädt und zur Bewertung durch die Nutzer frei gibt, so erfolgt die Evaluation mit deren Einver- ständnis. Der Betreiber der Webseite muss dann lediglich dafür sorgen, dass Nutzer keine ehrverletzenden oder beleidigenden Äusserungen publizieren. Wird ihm ein ent- sprechender Missstand gemeldet, so muss er diesen unverzüglich beheben. 4.1.2 Dritte stellen die Evaluierung bereit Wenn entweder der Betreiber der Webseite oder ein Nutzer der Webseite zu bewer- tende Elemente (welche einen Personenbezug aufweisen) einstellen kann, so ist dies für die betroffene Person erst einmal nicht erkennbar und erfolgt ohne deren Zustim- mung. Daher muss der Betreiber die betroffene Person informieren, bevor die Evalua- tion durchgeführt wird, und (falls er nicht über einen ausreichenden Rechtfertigungs- grund verfügt) von ihr die Zustimmung zur Durchführung der Evaluation einholen.
130 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4.1.3 Dritte können die Bewertung anonym abgeben Spezielle Anforderungen an die Datenerhebung gelten, wenn anonyme Bewertungen möglich sind. Um in einem solchen Fall überhaupt verwertbare Informationen zu er- halten, muss die Evaluation so durchgeführt werden, dass die Ergebnisse robust und statistisch signifi kant sind. Dies ist allerdings nur bei einer grossen Anzahl von unab- hängigen Evaluationen möglich. Zudem müssen die bewertenden Nutzer eine gewisse inhaltliche Nähe zum bewerteten Element aufweisen. Der Betreiber muss daher dafür sorgen, dass die Evaluationsergebnisse erst veröffentlicht werden, wenn eine genü- gend grosse Anzahl an Bewertungen abgegeben wurde und diese von verschiedenen Personen stammen, die inhaltlich zur Evaluation befähigt sind (z.B. weil sie das zu bewertende Bild gerade im Browser gesehen haben). Grundsätzlich ist bei anonym abgegebenen personenbezogenen Bewertungen auf- grund des Risikos einer Persönlichkeitsverletzung höchste Vorsicht geboten. 4.1.4 Dritte müssen sich zur Abgabe von Bewertungen registrieren Nachdem sich eine betroffene Person registriert hat, kann sie in der Regel keine an- onymen Bewertungen mehr abgeben, sofern sie sich nicht mit falschen Daten ein- geschrieben hat. Aus diesem Grund muss der Betreiber einer Bewertungswebseite Massnahmen ergreifen, um das Risiko einer anonymen Registrierung und damit das Risiko einer Persönlichkeitsverletzung zu minimieren. Auch ein wahrheitsgemäss registrierter Nutzer kann eine Evaluation durchführen, ob- wohl er das zu bewertende Objekt überhaupt nicht kennt. Immerhin kann er aber bei Streitfällen identifi ziert und es können Massnahmen gegen ihn ergriffen werden. 4.1.5 Der Nutzer wird zur Evaluation ermächtigt Ist die Bewertungsplattform so ausgestaltet, dass der Nutzer eine Bewertung nur dann abg eben kann, wenn die betroffene Person ihn zur Bewertung zugelassen hat, so braucht der Betreiber der Seite keine weiteren Massnahmen zu ergreifen. Wird dem Betreiber einer Bewertungswebseite allerdings ein Misstand gemeldet (be- leidigender Kommentar seitens eines Nutzers), so hat er diesen unverzüglich zu be- heben.
131 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Die nachfolgende Tabelle gibt nochmals einen Gesamtüberblick über die Ausgestal- tungsmöglichkeiten von Bewertungswebseiten. Massnahmen des Daten-/ Persönlichkeits- schutzes Ausgestaltung der Bewertung KeineZustimmung durchbetroffene PersonErkennbarkeitRechtfertigungsgrundHohe Anzahl anBewertungenQuali fi zierte Begutachter Inhaltliche Nähe zum Evaluationsobjekt Eingabe des zu bewer-tenden Elements Eingabe durch betroffene Person √√√ Eingabe durch Be- treiber der Website x√√ Eingabe durch beliebigen User x√√ Abgabe derBewertung anonym !! ! √x! nach Registrierung!√√√ nach spezieller Ermächtigung √√√√ Tabelle 3: Möglichkeiten der Gestaltung von Bewertungswebseiten Aus datenschutzrechtlicher Sicht sind Bewertungswebseiten, bei welchen die betrof- fene Person die Evaluation selbst veröffentlicht und gezielt Nutzer zur Evaluation ein- laden kann, am wenigsten problematisch. Wenn das zu evaluierende Element nicht durch die betroffene Person veröffentlicht wird, muss diese vor Beginn der Evaluation darüber informiert und ihre Zustimmung eingeholt werden. Anonyme Bewertungen können aus Sicht des EDÖB nur unter ganz speziellen Voraus- setzungen zugelassen werden, sind aber in der Regel abzulehnen.
132 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4.2 Massnahmen für betroffene Personen Da von einer Evaluation betroffene Personen grundsätzlich vorgängig darüber infor- miert und um ihre Zustimmung gebeten werden müssen, dürf(t)en keine ihr unbe- kannten Evaluationen stattfi nden. Zudem hat die betroffene Person gegenüber dem Betreiber der Bewertungsplattform jederzeit die Möglichkeit, ihre Zustimmung zurückzuziehen und die Evaluation samt Ergebnissen löschen zu lassen, es sei denn, der Betreiber kann Gründe geltend machen, welche die Weiterbearbeitung der Daten rechtfertigen. Er fährt eine Person, dass im Internet eine sie betreffende Evaluation (welcher sie nicht zugestimmt hat) stattfi ndet, kann Sie gegenüber dem Betreiber jederzeit ihr Lö- schungsrecht geltend machen und ihn auffordern, die Evaluation unverzüglich zu be- enden sowie die Ergebnisse nicht weiter zu veröffentlichen. Dazu stellt der EDÖB unter www.derbeauftragte.ch Musterbriefe zur Löschung von Daten zur Verfügung. Kommt d er Betreiber dem Löschungsbegehren nicht nach, kann die betroffene Person ihr Rechte von einem Zivilrichter durchsetzen lassen. 4.3 Massnahmen für Nutzer von Bewertungswebseiten Die Bewertung von Leistungen im Internet hat Auswirkungen auf die evaluierte Per- son. Ein Nutzer trägt mit seiner Teilnahme an einer Evaluation aktiv zur öffentlichen Meinungsbildung über die Evaluierten bei. Gerade deshalb sollten solche Webseiten in keinem Fall dazu verwendet werden, den bewerteten Personen «eins auszuwischen». Vielmehr sollten Evaluatoren sich ihrer Verantwortung bewusst sein und nur Bewer- tungen abgeben, wenn sie über ausreichende Informationen verfügen und kompe- tent sind.
133 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4.1.3 Erläuterungen zum digitalen Fernsehen, zu ITV und IPTV (Mai 2008) Bis zur Gegenwart haben sich hauptsächlich die beiden Technologien des digitalen Fernsehens (DVB) und des Fernsehens über das Internet (IPTV) durchgesetzt, so dass dem Publikum ein breites Angebot an Pro- grammen zur Verfügung steht. Die in den letzten Jahren aufkommende Konvergenz der Medien Telefon, Internet und Fernsehen eröffnet neue Geschäftsmöglichkeiten für Telekommunikations- und Medienanbieter. Durch den Breitbandzugang zum Internet steht den Konsumenten und Fernsehanbietern ein Rückkanal zur Verfügung, welcher die interaktive Gestaltung von Fernsehprogrammen ermöglicht. Vor wiegend zwei Entwicklungen haben ein interaktives digitales Fernsehen ermöglicht. Zum einen kann sich durch die immer grössere Bandbreite des Internets das Internet- TV in DVB-Qualität entwickeln. Zum anderen kann das digitale Fernsehen durch den Einzug des Internets in immer mehr Haushalte einen breitbandigen Rückkanal nutzen. Digitales Fernsehen mit breitbandigem Rückkanal Durch den heute zur Verfügung stehenden Rückkanal ist es dem Anbieter technisch möglich, mit dem Zuschauer in direkten Kontakt zu treten und diesem so einen indi- vidualisierten Fernsehzugang zu ermöglichen. Unter dem Begriff «Video-on-demand» bieten einige (vor allem Pay-TV-) Sender den Zuschauern bereits die Möglichkeit an, sich durch freie Filmwahl das eigene Programm zusammenzustellen. Weiterhin ist es denkbar, dass der Kunde während dem Fernsehen Zusatzinformati- onen abrufen kann. So wäre es beispielsweise heute schon möglich, den Lebenslauf des gerade handelnden Schauspielers abzurufen oder direkt eine Buchung in einem im Programm gezeigten Hotel vorzunehmen. Der Rückkanal ermöglicht aber auch dem Kabelnetzbetreiber, Informationen über das Fe rnsehverhalten und somit über die Interessen des Kunden zu erheben, um ihm individualisierte Werbeangebote zu unterbreiten. Internet-TV in DVB-Qualität Die heute vorhandenen Breitbandverbindungen ermöglichen es, Videoangebote über das Internet in einer angemessenen, aber mittelmässigen Qualität bereitzustellen. Ob- wohl allerdings über Webseiten wie z.B. YouTube.com oder peekvid.com verschiedene Videoangebote zur Verfügung gestellt werden, existieren heute nur wenige Fernseh-
134 16. Tätigkeitsbericht 2008/ 2009 des EDÖB sender, welche ihr Programm vollständig über das Internet anbieten, da zum einen hierfür noch keine ausreichende Nachfrage besteht, und zum anderen vielerorts die Bandbreite noch nicht ausreichend ist, um den Empfang in einer dem DVB-Standard äquivalenten Qualität zu ermöglichen. Heutzutage nutzen zum Beispiel Online-Zeitungen die Möglichkeiten des IPTV, um ne- ben den auf ihrer Seite publizierten Artikeln ihre Nachrichten auch als Video-Stream zu verbreiten und einfache Sendungen zu produzieren. Daneben existiert eine ganze Reihe von Webseiten, wo digitalisierte (Heim-)Videos oder Filme und Fernsehserien online zum Download angeboten werden. Das Internet ist seit jeher ein zweiseitiges Kommunikationsmedium, welches die Inter- aktion des Nutzers mit dem Anbieter erlaubt. Daher ist es für die interaktive Gestaltung von Fernsehprogrammen geeignet. Zudem nutzt der Konsument bereits einen Com- puter und ist auf eine aktive Kommunikation mit Maus oder Tastatur eingestellt, was die Nutzung von interaktiven Angeboten eher begünstigt. Im Gegensatz hierzu wird der durchschnittliche Digital-TV-Nutzer eine intensive Interaktion mit dem Fernsehge- rät eher als störend empfi nden. Risiken Aus datenschutzrechtlicher Perspektive stellen sich durch die Möglichkeiten der Samm- lung von personenbezogenen Nutzungsdaten verschiedene Fragen, welche nachfolgend erörtert werden. Risiken für Zuschauer Aufgrund des dauerhaften und breitbandigen Rückkanals wird es in Zukunft möglich sein, Daten über das Nutzungsverhalten des Fernsehzuschauers zu erheben, ohne dass dieser davon Kenntnis hat. Er weiss also weder welche Daten so über ihn und seinen Fernsehkonsum gesammelt noch welche Personendaten vom Kabelnetzbe- treiber gespeichert werden. Somit kann vom einzelnen Fernsehzuschauer ein Zuschauerprofi l erstellt werden, welches über seine Wünsche und Neigungen weitgehende Auskünfte gibt. Da es sich hierbei mitunter um höchst sensible Personendaten handeln kann (z.B. Informationen über die sexuellen Neigungen einer Person) muss der Fernsehzuschauer aus Sicht des EDÖB jederzeit erkennen können, wann personenbezogene Daten erhoben werden, und er muss die Möglichkeit haben, diese jederzeit zu unterdrücken.
135 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Diese Risiken bestehen vorwiegend beim digitalen Fernsehen mit breitbandigem Rückkanal, da über das Kabelnetz eine ganze Reihe an Fernsehsendern übertragen wird und der Kabelnetzbetreiber prinzipiell Daten über das gesamte Konsumverhalten des Zuschauers erheben kann. Auch beim IPTV könnte das Konsumverhalten des Nutzers durch den jeweiligen Betrei- ber aufgezeichnet werden. Da aber nicht alle Angebote aus einer Quelle stammen, ist das Risiko einer Überwachung des gesamten Konsumverhaltens weitaus geringer. Risiken für die Kabelnetzbetreiber Die Kabelnetzbetreiber müssen sich bewusst sein, dass sie für die Erhebung von per- sonenbezogenen Daten das Einverständnis des Kunden einholen müssen, wenn nicht öf fentliche oder private Interessen überwiegen oder eine rechtliche Grundlage für die Datenbearbeitung besteht. Dem Fernsehnutzer muss dabei transparent dargelegt werden, welche Daten über ihn zu welchem Zweck wann, wo und wie bearbeitet werden. Grundsätzlich hat der Zuschauer ein Recht darauf, dass nur ein Minimum an bestimmten oder bestimmbaren Personendaten zur Aufgabenerfüllung (wie beispiels- weise für die Rechnungsstellung) verwendet wird. Für Zusatzdienste hingegen sind anonymisierte oder pseudonymisierte Daten zu benutzen. In jedem Fall muss für den Zuschauer die unbeobachtete Nutzung des Fernsehens ohne Nachteile möglich sein. Vor allem durch personalisierte Werbeangebote, welche auf das Profi l des jeweiligen Kabelanschlusses abgestimmt sind, könnten sich einzelne Zuschauer gestört fühlen, was zu Beschwerden führen könnte. Die grössten Risiken für die Kabelnetzbetreiber werden im drohenden Vertrauens- verlust der Fernsehzuschauer bei einer übermässigen Datensammlung durch den Betreiber gesehen. Dies könnte dazu führen, dass Fernsehzuschauer in der Zukunft verstärkt auf Satellitenempfang (DVB-S) umsteigen, da hier kein Rückkanal zur Verfü- gung steht. Risiken für Anbieter von interaktiven DVB-Diensten Auch Anbieter von interaktiven DVB-Diensten müssen bei der Datenerhebung die Grundsätze des Datenschutzes beachten und dürfen nur diejenigen personenbezo- genen Daten über Nutzer erheben, welche sie zur Bereitstellung ihrer Dienste benöti- gen. In diesem Zusammenhang kann weitgehend auf die bisherige Praxis des Daten- schutzes im digital commerce verwiesen werden.
136 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Massnahmen In den meisten Fällen werden für die Bereitstellung von interaktivem Kabelfernsehen keine personenbezogenen Daten benötigt, welche über das Nutzungsverhalten des Fernsehzuschauers Auskunft geben. Eine Ausnahme könnte beispielsweise die Nut- zung von Angeboten im Pay-per-View-Modus sein, falls der Kunde eine detaillierte Ein- zelabrechnung wünscht. Daher muss der Fernsehzuschauer in den weitaus meisten Fällen seine Einwilligung für die Datenbearbeitung durch die Kabelnetzbetreiber oder Anbieter von DVB-Dienstleistungen geben. Um die Informationssicherheit beim Digitalfernsehen zu gewährleisten, sollte die Verwendung von Personendaten technisch und organisatorisch einzig auf den Ver- tragsabschluss und die Serviceleistungen beschränkt werden. Im Hinblick auf letztere muss der Kunde zusätzlich die Möglichkeit haben, zu bestimmen, welche personen- bezogenen Daten über seinen Fernsehkonsum gespeichert werden. Auch sollte der Zuschauer nach Meinung des EDÖB selbst entscheiden können, ob er beispielsweise eine detaillierte Aufstellung der konsumierten Filme erhalten möchte. Heute kann der einzelne Fernsehzuschauer keine Massnahmen zur Verhinderung eines unerwünschten Datentransfers zum Anbieter des digitalen Fernsehens ergrei- fen. Künftig wären bspw. spezielle Firewalls für das Fernsehgerät denkbar. Sie könnten eine solche Übertragung entweder direkt unterbinden oder den Zuschauer darauf auf- merksam machen, dass ein Datentransfer stattfi ndet und ihm die Möglichkeit geben, seine Einwilligung zu verweigern. Daneben erachtet es der EDÖB als sehr wichtig, dass die Kabelnetzbetreiber die Sy- steme von Anfang an datenschutzkonform ausgestalten. Dies bedeutet, dass weitge- hend auf die Erhebung von Personendaten verzichtet wird oder dass bereits erhobene anonymisiert werden. Im Weiteren muss das Kabelnetz die Informationssicherheit ge- währleisten. Auch im digitalen Fernsehen muss die unbeobachtete Nutzung des Fernsehens ohne Nachteile möglich bleiben. Daher schlägt der EDÖB folgende Massnahmen vor: Weitgehender Verzicht auf Personendaten Die personenbezogene Datenerhebung im Rahmen der Nutzung des digitalen Fernse- hens sollte technisch auf ein Minimum beschränkt werden und nur da möglich sein, wo dies unbedingt notwendig ist. Dies ist aus Sicht des EDÖB beim Vertragsabschluss und bei den Serviceleistungen der Fall. Zudem sollte der Kunde selbst darüber ent-
137 16. Tätigkeitsbericht 2008/ 2009 des EDÖB scheiden können, ob er beispielsweise im Hinblick auf seinen Fernsehkonsum Ein- zelabrechnungen erhalten möchte oder nicht. Um dies zu ermöglichen müssen die Anbieter von Fernsehprogrammen ihren Kunden entsprechend informieren. Zudem sollten die Anbieter dafür sorgen, dass technisch nur diejenigen Mitarbeitenden Zugriff auf die personenbezogenen Daten haben, welche diesen unbedingt benötigen. Vor allem zu Marketingzwecken und für personalisierte Werbung sind aus Sicht des EDÖB keine personenbezogenen Daten notwendig. Daher sind die für diese Zwecke er- hobenen Daten entweder zu anonymisieren oder mindestens zu pseudonymisieren, so dass eine Zuordnung des Fernsehverhaltens zu einzelnen Personen nicht möglich ist. Transparente Information der Betroffenen Kabelnetzbetreiber müssen die betroffenen Personen transparent sowohl über die Datenbearbeitungen als auch das Informationssystem in Kenntnis setzen. Dies bein- haltet auch die Angabe, welche Daten wann und wo bearbeitet (bspw. an wen weiter- geleitet) und wann sie gelöscht werden. Selbstverständlich gilt auch gegenüber den Betreibern von Kabelnetzen oder Anbietern von IPTV-Diensten das Auskunftsrecht der Betroffenen. Hierbei ist es, ebenfalls aus Transparenzgründen, notwendig, die Kunden darauf aufmerksam zu machen, dass und wann über den Rückkanal personenbezo- gene Daten von Ihnen gesammelt werden können. Zudem muss den Kunden die Mög- lichkeit eröffnet werden, einen Transfer personenbezogener Daten vom Fernsehgerät an den Anbieter zu unterbinden. 4.1.4 Erläuterungen zu «Pay as you drive» und dem Einsatz von Black Boxen in Motorfahrzeugen (Mai 2008) Moderne Versicherungstarife für Motorfahrzeuge setzen sich aus meh- re ren Kriterien zusammen, mit welchen Versicherer versuchen, eine risikogerechte Prämie anzubieten. Bisher haben sie zur Risikoeinschät- zung vorwiegend Informationen basierend auf bestimmten Zustands- daten (Fahrzeugtyp, PS, etc.) und ereignisbezogene Verhaltensdaten (wie Schadensfälle oder Administrativmassnahmen) erhoben. Unter dem Namen «Pay as you drive» (PAYD) evaluieren in letzter Zeit allerdings immer mehr Versicherungen die zusätzliche Nutzung von ereignisun- abhängigen Verhaltensdaten (wie das tägliche Fahrverhalten), um den einzelnen Kundinnen und Kunden individualisierte Motorfahrzeugsver- sicherungen anzubieten.
138 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Die technischen Lösungen zur Erhebung der gewünschten Verhaltensdaten reichen von einer einfachen Erfassung der gefahrenen Kilometer über eine Tankkarte an der jeweiligen Tankstelle bis hin zu einem vollautomatischen und kommunikationsfähigen Datenaufzeichnungsgerät (Black Box), welches sämtliche Fahrzeugbewegungen und Reaktionen des Lenkers aufzeichnet und an das Versicherungsunternehmen weiter- l eitet. Nachfolgend werden die datenschutzrechtlichen Herausforderungen der vier wichtigsten PAYD-Lösungen kurz vorgestellt:
139 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Tarif zu wählen. Bei den herkömmlichen Tarifen verblieben lediglich die risikoreichen teuren Versicherten und solche, denen die PAYD-Datenbearbeitungen zu weit gehen, was zu einem signifi kanten Anstieg der Prämien führen könnte. Je nachdem wie stark ein solcher Preisanstieg wäre, könnten sich Versicherte gezwungen fühlen, in den PAYD-Tarif zu wechseln, um keine übermässigen fi nanziellen Nachteile zu erleiden. Das würde bedeuten, dass sich Versicherte faktisch nicht mehr gegen die Erstellung eines auf ihrer Fahrweise beruhenden Persönlichkeitsprofi ls wehren könnten. Über die Motorfahrzeugversicherung hinaus könnte ein solcherart erstelltes Risiko- profi l auch für weitere Versicherungen verwendet werden. Es könnte insbesondere in die Risikoberechnung bei Lebens-, Invaliditäts- und Unfallversicherungen Eingang finden, was im schlimmsten Fall dazu führen könnte, dass der Versicherungsgeber es ablehnt, die betroffene Person aufzunehmen, und diese keine Möglichkeit mehr hat, sich gegen entsprechende Risiken zu versichern. Dies ist schwerwiegend, weil zur Erstellung eines Risikoprofi ls die Datenerhebung über eine gewisse Zeit hinweg notwendig ist. Je nach Planungshorizont des Versicherungsgebers könnte sich durch Verhaltensänderungen des Versicherungsnehmers sein tatsächliches Risikoprofi l än- dern. Je nachdem, wie lange die Versicherungsgesellschaft die Verhaltensdaten der betroffenen Person speichert und zur Auswertung heranzieht, könnten sich dadurch Verzerrungen im aufgezeichneten Persönlichkeitsprofi l des Versicherten ergeben. Die stärkere Segmentierung der Tarifmodelle könnte zudem dazu führen, dass sich die Schere zwischen hohen und niedrigen Beiträgen weiter öffnet. Risiken für Versicherer Vor allem in der Transformationsphase zwischen den bisherigen Tarifen und den PAYD- Tarifen könnte es bei Versicherungen, welche sich entschliessen, PAYD nicht einzu- führen, zu einer systematischen Abwanderung von Versicherungsnehmern kommen. Dies könnte sich für die Versicherungen negativ auf die Risikostrukturen auswirken, was dann letztendlich zu einer Erhöhung der Beitragssätze führen könnte. Hierdurch würden weitere Versicherungsnehmer animiert, zu anderen Anbietern mit PAYD-Ta- rifen zu wechseln. Das Resultat wäre eine ungleiche Risikoverteilung, da diejenigen Versicherungen, welche PAYD anbieten, sowohl einen Informationsvorsprung hätten als auch vermehrt Kunden mit geringerem Risiko anziehen würden. Kunden mit einem höheren Risikoprofi l würden vermehrt bei Versicherungen mit lediglich traditionellen Tarifen verbleiben. Auf der anderen Seite kann auch die Einführung einer PAYD-Lösung beim Versiche- rungsgeber zu höheren Kosten führen. Dies ist auf der einen Seite dann der Fall, wenn dieser die Kosten für den Einbau einer Black Box zu tragen hat. Auf der anderen Seite
140 16. Tätigkeitsbericht 2008/ 2009 des EDÖB können je nach Art der gewählten Lösung zusätzliche Kosten für den Betrieb und die Verwaltung der gesammelten Daten entstehen – insbesondere, wenn das Versiche- rungsunternehmen sie zentral speichert. Massnahmen In naher Zukunft ist davon auszugehen, dass das Angebot aufgrund noch fehlender Standards bei PAYD sehr heterogen ausfallen wird. Ausserdem erwarten wir, dass die herkömmlichen Tarifmodelle zumindest auf mittlere Frist erhalten bleiben werden und lediglich die bisher bereits bestehenden ereignisbezogenen Tarifelemente, welche Rückschlüsse auf das Fahrverhalten zulassen (wie gefahrene Kilometer, Führeraus- weisentzüge, Unfälle, etc.) in die Versicherungsprämie einfl iessen werden. Daher wird eine weitergehende PAYD-Versicherungsprämie, welche unabhängig von bestimmten Ereignissen das Fahrverhalten analysiert, lediglich eine Option bleiben, welche ein Ver- sicherungsnehmer wählen kann, wenn er davon fi nanziell profi tieren möchte. Grundsätzlich dürfen personenbezogene Daten, welche mittels eines PAYD-Systems erhoben werden, immer nur mit dem Einverständnis des Versicherungsnehmers bear- beitet werden. Daher ist es zunächst zentral, dass er vor dem Entschluss für ein PAYD- Modell detailliert über die Art und den Umfang der über ihn zu bearbeitenden Perso- nendaten informiert wird. Insbesondere muss die betroffene Person wissen, welche Daten wann, wie und in welcher Häufi gkeit erhoben, gespeichert oder ausgewertet werden, sei es mittels einer Black Box oder auf andere Weise. Die Erfahrung hat allerdings gezeigt, dass neue Möglichkeiten der Datenerhebung, so- bald sie einmal eingeführt sind, schnell neue Begehrlichkeiten wecken können. Daher ist es notwendig, klare gesetzliche Regelungen zu schaffen, unter welchen Umständen beispielsweise Strafverfolgungsbehörden Zugriff auf die in einer solchen Black Box gespeicherten Daten haben sollen. Empfehlungen Grundsätzlich müssen bei der Sammlung von ereignisunabhängigen Nutzungsdaten, welc he über das Fahrverhalten Aufschluss geben, insbesondere durch Installation von Black Boxen, die Datenschutzgrundsätze beachtet werden. Hierbei gilt es, von vorne herein festzulegen, zu welchem Zweck die Daten verwendet werden, und eine ent- sprechende Selektion der unbedingt notwendigen Daten vorzunehmen. Damit soll ver- mieden werden, dass alle möglichen Informationen auf Vorrat gesammelt werden.
141 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Zudem darf die Sammlung ereignisunabhängiger Verhaltensdaten nicht zu einem «gläsernen Fahrer» führen, über dessen Fahrverhalten ein detailliertes Personenprofi l erhoben wird. Genauso wenig darf ein komplettes Bewegungsprofi l des Fahrers er- stellt werden. Um exzessive personenbezogene Auswertungen zu vermeiden, sollte zudem auf die zentrale Datenspeicherung verzichtet werden. Denn damit könnten die Bewegungsprofi le verschiedener Fahrer verglichen werden, was dann Rückschlüsse auf ganz andere Lebenssachbereiche zulassen würde. Da es für Aussenstehende zudem oft nicht nachvollziehbar ist, was beispielsweise in einer Black Box aufgezeichnet wird, ist es sowohl für den Versicherer wie auch für den Versicherungsnehmer eine Vertrauensfrage, wie mit diesen sensiblen Personendaten umgegangen wird. Beschränkung der Abrufbarkeit von Daten (Vorauswertung) Da ereignisunabhängige Fahrverhaltensdaten meist über ein Aufzeichnungsgerät er- hoben werden, welches über eine eigenständige Recheneinheit verfügt (wie z.B. eine Black Box), könnte bereits eine Vorauswertung innerhalb dieser Recheneinheit vor- genommen werden. Anstatt alle Primärdaten aufzuzeichnen, würden dann nur noch berechnete Sekundärdaten, welche der Versicherer zur Ausgestaltung seines PAYD- Tarifs benötigt, verwendet. Dies hätte den Vorteil, dass die Datenauswertung dezentral erfolgen würde und der Versicherer nur noch aggregierte Daten abrufen könnte. Aus solchen wäre es dem Versicherer dann kaum noch möglich, mit geänderten Auswer- tungsalgorithmen weitergehende und eventuell zweckfremde Auswertungen vorzu- nehmen, was bei der Auswertung von Primärdaten ohne weiteres möglich ist. Beschränkter Zugriff auf die in der Black Box gespeicherten Daten Eine im Fahrzeug installierte «Black Box» muss grundsätzlich vor Missbrauch und vor externen Zugriffen geschützt sein. Da sie personenbezogene Daten speichert, sollte ledi glich der Benutzer des Fahrzeugs über diese Daten verfügen können. So muss eine Black Box, welche über eine Kommunikationseinheit verfügt, dahingehend ge- schützt sein, dass kein unberechtigter Dritter über diese Kommunikationseinheit Da- ten abrufen kann.
142 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4.1.5 Empfehlung betreffend der Internetseite www.okdoc.ch der Firma Bonus.ch AG Siehe Abschnitt 4.1.5 im französischen Teil des Berichtes 4.1.6 Empfehlung an die Dienstleistung «Auskunftservice A» der Firma X Bern, den 16.12.2008 Empfehlung gemäss Art. 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG) betreffend die Dienstleistung «Auskunftservice A» der Firma X I. Sachverhalt
143 16. Tätigkeitsbericht 2008/ 2009 des EDÖB mationen der betroffenen Personen abfragen, um Mieterangaben zu prüfen und Mietzinsausfälle zu vermeiden. Ausserdem können ergänzende Informationen, wie Betreibungsauskünfte, Arbeitgeber- und Vermieter-Referenzen, eingeholt bzw. an- gefordert werden. 2. Chronologischer Ablauf der Sachverhaltsabklärung 3 Der EDÖB wurde erstmals am 01.04.2008 durch eine Mitteilung einer betroffenen Person auf die Existenz des «Auskunftservice A» aufmerksam gemacht, worauf- hin er am 08.04.2008 zwecks Sachverhaltsabklärung mit der Firma X Kontakt auf- nahm. 4 Parallel hierzu bereitete das Schweizer Fernsehen einen Beitrag zum «Auskunft- service A» vor. In einer Sendung wurde dann der «Auskunftservice A» thematisiert. Auch wurde ein vorher aufgezeichnetes Interview mit dem Eidgenössischen Da- tenschutz- und Öffentlichkeitsbeauftragten Hanspeter Thür ausgestrahlt. 5 A m 04.06.2008 nahmen Vertreter des EDÖB die Datenbearbeitung der Firma X betreffend «Auskunftservice A» vor Ort in Augenschein. Die Ergebnisse der Sitzung wurden in einem Sitzungsprotokoll 1 zusammengefasst, welches durch die Firma X mit einigen Ergänzungen 2 gutgeheissen wurde. 3. Umfang der Sachverhaltsabklärung 6 Zwischen der ersten Kontaktaufnahme am 08.04.2008 und der Augenscheinnah- me des «Auskunftservice A» durch den EDÖB hat die Firma X verschiedene Anpas- sungen und Änderungen der Dienstleistung vorgenommen. Demzufolge wird vor diesem Hintergrund auf die ursprüngliche, von den Medien aufgegriffene Version des «Auskunftservice A» in den Erwägungen des EDÖB nur insoweit eingegangen, als dies notwendig ist. 7 Obwohl die Praxis der Firma X hinsichtlich der Gewährung des Auskunfts- und Lö- schungsrechtes bereits im Jahr 2006 vom EDÖB überprüft wurde, nahm der EDÖB die Sachverhaltsabklärung zum «Auskunftservice A» zum Anlass, diese vor dem Hintergrund des geänderten und erweiterten Dienstleistungsangebots erneut ab- 1 Beilage 1, Sitzungsprotokoll. 2 Beilage 2, Schreiben vom 17.07.2008.
144 16. Tätigkeitsbericht 2008/ 2009 des EDÖB zuklären. Dies war vorwiegend deshalb notwendig, da die Firma X im Rahmen des «Auskunftservice A» ihren Kunden nicht nur wie bisher die von ihr gespeicherten Daten anbietet, sondern zudem speziell aufbereitete, miteinander verknüpfte und mit einem Rating versehene Daten zur Verfügung stellt. 8 Diese Sachverhaltsabklärung ist keine Bewertung der gesamten Tätigkeit der Fir- ma X, sondern sie bezieht sich nur auf die Beurteilung des «Auskunftservice A». 4. «Auskunftservice A» 4.1 «Auskunftservice A» in der ursprünglichen Form 9 In der ursprünglichen Form präsentierte sich der «Auskunftservice A» dem EDÖB aufgrund der von verschiedenen Personen eingereichten Unterlagen, der von der Firma X zugesandten Unterlagen, der vom EDÖB selbst recherchierten Unterlagen sowie der Informationen aus der Sendung des Schweizer Fernsehens. 10 Die Firma X stellt auf ihrer Webseite ein Webinterface 3 zur Verfügung, mit welchem man über eine Suchmaske nach bei ihr gespeicherten Personen suchen kann. Dadurch können die folgenden Profi l- bzw. Bewertungsdaten einer gespeicherten Person abgerufen werden: Entscheidung, Entscheidungsmatrix, Score, Zahlungs- erfahrungen, bekannte Adressen, gleicher Haushalt (gleicher Name oder gleiche Telefonnummer), Firmenbeziehungen, Umfeld und Ähnlichkeitstreffer. Die einzel- nen Profi ldaten werden in der nachfolgenden Tabelle 1 kurz erläutert: 11 Tabelle 1 KategorienBeschreibung EntscheidungAus den bei der Firma X zu einer betroffenen Person ge- sammelten Daten wird ein Bonitätsrating in Form einer Ampel mit den nachfolgenden Ausprägungen berechnet: rot (Handlungsanweisung: Vertrag nicht abschliessen), gelb (Handlungsanweisung: Zusatzabklärungen treffen) und grün (Handlungsanweisung: Vertrag abschliessen). 3 Beilage 3, Factsheet vom 08.04.2008.
145 16. Tätigkeitsbericht 2008/ 2009 des EDÖB EntscheidmatrixIn der Entscheidmatrix werden die einzelnen zur Berech- nung des Entscheidfeldes herangezogenen Daten mit einer Ampel (rot, gelb, grün) bewertet. Im Einzelnen sind dies die Felder: Score, Trefferart, Status, Firmenbeziehung mit nega- tiven Daten, durchschnittliche Wohndauer an einer Adres- se, Blacklistenprüfung, weitere Familienmitglieder, Bonität Familienmitglieder und Ähnlichkeitstreffer. Zusammenge- fasst werden die jeweiligen Einzelergebnisse unter der Ka- tegorie Entscheidung. Zudem werden unter der Kategorie Entscheidungsgrund, die entscheidungsrelevanten Daten der Entscheidmatrix inklusive deren Wert aufgeführt. ScoreDer Score ist ein numerischer Wert, welcher aus den Da- tenfeldern Zahlungserfahrungen einer Person, Umfeld, Mobilität sowie Soziodemographie berechnet wird und liegt zwischen 250 und 700 Punkten. Er wird graphisch auf einer dreifarbigen (rot, gelb, grün) waagrechten Achse dargestellt. ZahlungserfahrungenHier werden die der Firma X bekannten und gespeicherten bonitätsrelevanten Ereignisse aufgeführt. Diese sind Anzahl Zahlungserfahrungen, aktuellster Fall, Forderungssumme und offener Betrag Forderungsstatus (Konkurs, Betreibung), Auskünfte (Betreibungsregister) sowie Inkassomeldungen. Bekannte AdressenAufgeführt werden die aktuelle Adresse und sämtliche der X bekannten Adressen inklusive Wohndauer sowie die durchschnittliche Wohndauer Im gleichen Haushalt lebende Personen In dieser Rubrik werden Daten von denjenigen Personen aufgelistet, die den gleichen Telefonanschluss nutzen (gleiche Telefonnummer) oder die den gleichen Namen an derselben Adresse tragen mit Angabe des Jahrganges, in- klusive deren Informationen über allfällige Negativeinträge. FirmenbeziehungenBeziehungen zwischen gesuchter Person und Firmen wer- den bewertet. Angezeigt werden Handelsregistereinträge zu der jeweiligen Person sowie sonstige der Firma X be- kannte negative Firmeneinträge. UmfeldanalyseHierbei wird ein prozentualer Wert im Vergleich mit dem Umfeld auf grund des Nachnamens, des Hauses, der Stras- se, des Ortes und des Landes errechnet. ÄhnlichkeitstrefferAnzeige von Personen mit ähnlichem Namen inkl. Geburts- datum.
146 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Ausserdem haben die Nutzer des «Auskunftservice A» die Möglichkeit, zusätzlich Be- treibungsregisterauskünfte online zu bestellen. 4.2 «Auskunftservice A» in der angepassten bzw. aktuellen Form 12 Bis zur Sachverhaltsabklärung hat die Firma den «Auskunftservice A» so modifi - ziert, dass dieser sich wesentlich von der früheren Version unterscheidet 4 . Nach- folgend werden die Eigenschaften des «Auskunftservice A» in der angepassten Form vorgestellt: 13 Tabelle 2 KategorienBeschreibung EntscheidungAus den bei der Firma X zu einer betroffenen Person ge- sammelten Daten wird ein Bonitätsrating in Form einer Ampel mit den nachfolgenden Ausprägungen berechnet: rot (hohe Risiken vorhanden), gelb (sorgfältige Prüfung empfohlen. Der Entscheid impliziert nicht, dass eine ver- schlechterte Bonität vorliegt) und grün (keine Risiken ge- funden). EntscheidmatrixIn der Entscheidmatrix werden die einzelnen zur Berech- nung des Entscheidfeldes herangezogenen Daten mit einer Ampel (rot, gelb, grün) bewertet. Im Einzelnen sind es folgende Felder: Score, Trefferart, Status, Firmenbeziehung mit negativen Daten, durchschnittliche Wohndauer an einer Adresse, weitere Familienmitglieder, Bonität Fami- lienmitglieder und Ähnlichkeitstreffer. Zusammengefasst werden die jeweiligen Einzelergebnisse unter der Kategorie Entscheidung. Zudem werden unter der Kategorie Ent- scheidungsgrund, die entscheidungsrelevanten Daten der Entscheidmatrix inklusive deren Wert aufgeführt. Zudem wird bei den Bewertungen ein Hilfetext eingeblendet, so- fern die Ampel gelb oder rot anzeigt. 4 Beilage 4, Factsheet vom 04.06.2008; Beilage 5, Blatt «Infoboxen Auskunftservice A in Decisionmatrix».
147 16. Tätigkeitsbericht 2008/ 2009 des EDÖB ZahlungserfahrungenHier werden die bei der Firma X bekannten und gespei- cherten bonitätsrelevanten Ereignisse aufgeführt. Diese sind: Anzahl Zahlungserfahrungen, aktuellster Fall, Forde- rungssumme und offener Betrag, Forderungsstatus (Kon- kurs, Betreibung), Auskünfte (Betreibungsregister) sowie Inkassomeldungen. Alte Adresse(n) [Bekannte Adressen] Aufgeführt werden die aktuelle Adresse und sämtliche der Firma X alten (bekannten) Adressen inklusive Umzugsmel- dung sowie die so errechnete durchschnittliche Wohndau- er angezeigt. Gleicher Haushalt gleicher Name oder gleiche Telefonnummer) In dieser Rubrik werden die Daten von denjenigen Per- sonen angegeben, welche den gleichen Telefonanschluss nutzen (gleiche Telefonnummer) oder den gleichen Namen an der Adresse tragen mit Angabe des Jahrganges. FirmenbeziehungenBeziehungen zwischen gesuchter Person und Firmen wer- den bewertet. Angezeigt werden Handelsregistereinträge zu der jeweiligen Person sowie sonstige der Firma X be- kannte negative Firmeneinträge. Ähnlichkeitstreffer (Verwechslungsgefahr) Anzeige von Personen mit ähnlichem Namen inkl. Geburts- datum. 14 Insgesamt wurden die nachfolgend aufgeführten Änderungen am «Auskunftser- vice A» durchgeführt: a Die Erklärungen zum Ampelsystem in der Kategorie Entscheidung wurden, wie in der Tabelle 2 aufgeführt, geändert. Zudem wird die Ampel nur noch dann rot, wenn über die betroffene Person negative Zahlungserfahrungen vorhanden sind oder wenn der Personenstatus (minderjährig, bevormundet, verstorben) einem rechtsgültigen Vertragsabschluss entgegensteht. b Das Ampelsystem in der Kategorie Entscheidmatrix wurde mit Erklärungen versehen, so dass zu jeder Bewertung und deren Zustandekommen ein klei- ner Erläuterungstext eingeblendet wird 5 . c Entfernt wurden die Kategorien Score und Umfeld sowie das Feld Blacklisten- prüfung in der Kategorie Entscheidungsmatrix. 5 Beilage 4; Beilage 5.
148 16. Tätigkeitsbericht 2008/ 2009 des EDÖB d Die Zahlungserfahrungen werden neu mit den Buchstaben A, B, C und D wie folgt bewertet: i. A «nichts bekannt»; ii. B «geringfügige Fälle bekannt»; iii. C «erhebliche Fälle bekannt» und iv. D «schwerwiegende Fälle bekannt». Nach Auskunft der Firma X beruhen diese Zahlungsbewertungen einzig auf- grund der vorliegenden Zahlungserfahrungen der gesuchten Person. Bei diesem Rating wird die Aktualität der Zahlungserfahrungen (aktuelle wiegen schwerer als frühere), die Gewichtigkeit des Zahlungsereignisses (ein Konkurs wiegt schwerer als ein Inkassofall) und die Anzahl der Zahlungserfahrungen (viele negative wiegen schwerer als einzelne) berücksichtigt 6 . II. Erwägungen
149 16. Tätigkeitsbericht 2008/ 2009 des EDÖB net sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Stellt er aufgrund einer Sachverhaltsabklärung fest, dass eine Da- tenbearbeitung gegen das Datenschutzgesetz verstösst, kann er empfehlen, die Datenbearbeitung zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). 17 Durch Meldung verschiedener Personen wurde der EDÖB auf den «Auskunftser- v ice A» aufmerksam gemacht. Aufgrund der Vielzahl der potenziell betroffenen Personen (zwei Drittel der Bewohnerinnen und Bewohner in der Schweiz leben zur Miete 7 ) ist die Datenbearbeitung durch die Firma X geeignet, die Persönlichkeit einer Vielzahl von natürlichen und juristischen Personen zu verletzen. Aus diesem Grund ist der EDÖB im vorliegenden Fall berechtigt, aufgrund seiner Abklärungen eine Empfehlung im Sinne von Art. 29 Abs. 3 DSG zu erlassen. 2. Datenbearbeitung im Rahmen der Dienstleistung «Auskunftservice A» 2.1 Vorbemerkungen 18 Der EDÖB geht im Rahmen seiner Erwägungen lediglich auf den «Auskunftservice A» in seiner angepassten Form ein. Auf ihrer Website verweist die Firma X aller- dings nach wie vor auf den «Auskunftservice A» in seiner ursprünglichen Form. So erscheinen in den Beschreibungen immer noch Hinweise auf die Elemente Score sowie Blacklistenprüfung 8 . Die Hinweise auf der Website «Integration der eigenen Blacklist verhindert Ausfälle» und «Score» (professionelle Berechnung der Ausfall- wahrscheinlichkeit) sollten entfernt werden. 2.2 Zulässigkeit der Datenbearbeitung zum Zwecke von Mietauskünften Allgemeines 19 Wer Personendaten bearbeitet darf gemäss Art. 12 Abs. 1 DSG die Persönlich- keit der betroffenen Person nicht widerrechtlich verletzen. Insbesondere darf er nach Art. 12 Abs. 2 DSG Personendaten nicht entgegen den allgemeinen Daten- schutzgrundsätzen (Art. 4, 5 und 7 Abs. 1 DSG) bearbeiten, nicht ohne Rechtfer- tigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten 7 Bundesamt für Wohnungswesen (BWO), Briefing Mietrecht: 8 http://www.bwo.admin.ch/ dokumentation/00101/00184/index.html?lang=de 8 www.Firma X, besucht am 3.11.2008.
150 16. Tätigkeitsbericht 2008/ 2009 des EDÖB und nicht ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofi le Dritten bekannt geben. In der Regel liegt dann keine Persönlichkeitsverletzung vor, wenn die betroffene Person ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG). Keine widerrechtliche Persönlichkeitsverletzung ist gemäss Art. 13 Abs. 1 DSG gegeben, wenn sie durch Einwilligung, überwiegendes öffentliches und privates Interesse oder Gesetz gerechtfertigt ist. Auch wenn sich der Dateninhaber grundsätzlich auf einen Rechtfertigungsgrund berufen kann, sind die allgemeinen Datenschutzgrundsätze zu beachten. Rechtfertigungsgründe 20 Als R echtfertigungsgrund gemäss Art. 13 Abs. 1 DSG kommt für Mietauskünfte ne- ben der Einwilligung der betroffenen Person ein überwiegendes privates Interesse der bearbeitenden Person in Frage, wenn zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persön- lichkeitsprofi le bearbeitet und Dritten nur Daten bekannt gegeben werden, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen (Art. 13 Abs. 2 Bst. c DSG). Unter diesen Bedingungen ist für die Kredit- prüfung durch Dritte (Auskunfteien) und die Bekanntgabe eine Speicherung der Da- ten auf «Vorrat» zulässig. Gemäss Zweckmässigkeitsprinzip dürfen allerdings nur die Daten bearbeitet werden, die zur Prüfung der Kreditwürdigkeit erforderlich sind 9 . 21 Ein weite rer Rechtfertigungsgrund nach Art. 13 Abs. 2 Bst. a DSG ist jener des Vertragsabschlusses. Demnach kann ein überwiegendes privates Interesse die Bearbeitung von Daten rechtfertigen, wenn diese die Verminderung des Risikos bei einem Vertragsabschluss bezweckt. Dieser Rechtfertigungsgrund kann bei allen Vertragsformen angerufen werden 10 . Auch wenn die Kreditauskunftei auf «Vorrat» Daten rechtmässig bearbeiten darf, ist die Bekanntgabe an Dritten nur an beste- hende oder unmittelbar werdende Vertragspartner der betroffenen Person er- laubt. Hierbei obliegt es der Person, welche Daten bekannt gibt, zu prüfen, ob der Dritte ein tatsächliches Interesse an diesen Daten geltend machen kann. Die Anforderungen an den Interessenausweis sind nach dem Verhältnismässigkeits- prinzip je nach Sensitivität der Daten anzupassen. 9 Basler Kommentar zum Datenschutzgesetz (BSK-DSG), Corrado Rampini, Art. 13 N 36. 10 BSK-DSG, Corrado Rampini, Art. 13 N 30 f.
151 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Grundsätze der Datenbearbeitung 22 Nach Art. 4 Abs. 2 DSG haben die Datenbearbeitungen nach Treu und Glauben zu erfolgen. Gegen diesen Grundsatz verstösst beispielsweise derjenige, der Daten nicht offen bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossen 11 . Dem- zufolge muss eine Datenbearbeitung transparent sein. Nach dem Erkennbarkeits- prinzip muss die Beschaffung von Personendaten und insbesondere der Zweck der Bearbeitung für die betroffene Person erkennbar sein (Art. 4 Abs. 4 DSG). Die A nforderungen, die dabei an die Erkennbarkeit gestellt werden, sind nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen 12 . Ist die Beschaffung aufgrund der Umstände für die betrof- fene Person weniger deutlich erkennbar, muss die betroffene Person umso eher mit angemessenen Mitteln auf die Erhebung und ihre wesentlichen Rahmenbedin- gungen aufmerksam gemacht werden 13 . 23 Nach dem Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG) darf ein Datenbearbeiter nur diejenigen Daten bearbeiten, die er für einen bestimmten Zweck tatsächlich benötigt und die im Hinblick auf den Bearbeitungszweck und die Persönlichkeits- beeinträchtigung in einem vernünftigen Verhältnis stehen 14 . Wenn die Datenbe- arbeitung das angestrebte Ziel erreicht (Zwecktauglichkeit) und die privaten In- teressen der Betroffenen schont (geringstmöglicher Eingriff) ist das Prinzip der Verhältnismässigkeit eingehalten. 24 Nach dem Grundsatz der Zweckmässigkeit (Art. 4 Abs. 3 DSG) dürfen Daten nur für den objektiven Zweck bearbeitet werden, der bei der Beschaffung angegeben worden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Die betroffene Person muss es nicht hinnehmen, dass über sie Daten ohne nähere Zweckbestimmung auf «Vorrat» erhoben werden 15 . 11 BSK-DSG, Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 7 und BBl 1988 II 449. 12 BBl 2003 2125. 13 BBl 2003 2126. 14 BSK DSG Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 11. 15 BSK DSG Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 14; BGE 125 II 473 E. 4.
152 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Mieterauskünfte 25 Der Zweck von Mieterauskünften, wie sie der «Auskunftservice A» bereitstellt, ist die Verhinderung von Mietzinsausfällen. Der «Auskunftservice A» soll dem Bedürf- nis der Bonitätsprüfung für die Mieterselektion dienen 16 . Auf der Website wird als Zweck die Überprüfung von Mieterinformationen erwähnt. Als Kreditauskunftei stützt sich die Firma X bei ihrer Datenbearbeitung auf ein überwiegendes privates Interesse, namentlich auf den Rechtfertigungsgrund der Bonitätsprüfung gemäss Art. 13 Abs. 2 Bst. c DSG. Diesbezüglich ist auch ein Datenaustausch entgegen dem Willen der betroffenen Person zum Zweck der Prüfung der Kreditwürdigkeit der betroffenen Person möglich. 26 In diesem Zusammenhang ist zu prüfen, ob die Datenbearbeitung den allgemeinen Datenschutzgrundsätzen entspricht. Die damalige Eidgenössische Datenschutz- kommission (EDSK) hat die Datenbearbeitung im Rahmen von Mietverhältnissen in zwei Entscheiden im Zusammenhang mit der Ausgestaltung von Mietformularen konkretisiert 17 . Demnach dürfen nur Daten verwendet werden, die der Vermie- ter aus objektiven Gründen für die Mieterevaluation tatsächlich benötigt. Zudem darf der Vermieter bestimmte Unterlagen und Bestätigungen von Angaben (Be- treibungsregisterauszüge) erst dann verlangen, wenn er mit dem Interessenten defi nitiv einen Mietvertrag abschliessen will 18 . 27 Der EDÖB ko mmt daher zum Schluss, dass Mieterauskünfte, wie der «Auskunftser- vice A», aus datenschutzrechtlicher Sicht grundsätzlich möglich sind, solange die Grundsätze der Datenbearbeitung (Art. 4, 5 Abs. 1 und 7 Abs. 1 DSG) eingehalten werden und diese ausschliesslich dazu verwendet werden, Bonitätsdaten auszu- tauschen. Werden hingegen weitere Daten (die nicht direkt bonitätsrelevant sind) zum Zweck der Mieterevaluation ausgetauscht, kann sich der Anbieter einer sol- chen Dienstleistung nicht auf ein überwiegendes privates Interesse gemäss Art. 13 Abs. 2 lit. c DSG berufen und benötigt hierfür einen anderen Rechtfertigungsgrund. 16 Beilage 6. 17 VPB 62.42B und VPB 68.153; diese Beurteilungen sind in das Merkblatt Mietwohnungen des EDSB (EDÖB) eingefl ossen. 18 BSK DSG Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 25.
153 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3. Datenschutzrechtliche Prüfung des «Auskunftservice A» 3.1 Informationen rund um den «Auskunftservice A» 28 Die Firma X informiert in ihrem Merkblatt «Datenschutzrechtliche Aspekte der Fir- ma X Datenbank», dass ihre Datensammlung beim EDÖB angemeldet sei 19 . Zudem weist die Firma X auch in ihren Antwortschreiben an Auskunftsersuchende darauf- hin, dass die Datenbank dem DSG entspreche und beim eidgenössischen Daten- schutzbeauftragten angemeldet sei 20 . In den Allgemeinen Geschäftsbedingungen (AGB) wird weiterhin erklärt, dass die Firma X sich verpfl ichte, alle Datenschutz- anforderungen einzuhalten. Dazu gehöre unter anderem die Registrierung in Bern als Auskunftei, die Verschlüsselung der Kommunikation über https und der Schutz der Daten vor unberechtigtem Zugriff 21 . Auf dem Merkblatt «Häufi g gestellte Fra- gen» schreibt die Firma X als Antwort, warum der Kunde nicht darüber informiert worden sei, dass er in eine Datenbank eingetragen wurde: «Datenbanken, die beim eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten angemeldet sind, brauchen die betroffenen Personen nicht zu informieren, wenn sie jemanden in die Datenbank aufnehmen» 22 . 29 Nach Art. 11a DSG sind Datensammlungen von Privatpersonen beim EDÖB anzu- melden, wenn diese regelmässig besonders schützenswerte Personendaten an Dritte bekanntgeben. Nach revidiertem Datenschutzgesetz ist das auch dann der Fall, wenn die betroffene Person Kenntnis von der Datenbearbeitung hat. Aller- dings muss für die betroffene Person gemäss Art. 4 Abs. 4 DSG immer erkennbar sein, dass Daten über sie bearbeitet werden. 30 Der Text der Firma X kann den Eindruck erwecken, dass ihre Tätigkeit vom EDÖB bewilligt worden ist. Die Anmeldung nach Art. 11c DSG ist lediglich eine formelle Pfl icht. Es bedeutet nicht, dass der EDÖB eine Bewilligung erteilt und die Tätigkeit der Firma X überprüft und genehmigt hat (ausserdem hat der EDÖB von Gesetzes wegen keine Bewilligungskompetenz). Demzufolge entsprechen die Ausführungen der Firma X in dem Merkblatt «Datenschutzrechtliche Aspekte der Firma X Daten- bank» und dem Merkblatt «Häufi g gestellte Fragen» nicht den aktuellen gesetzli- chen Gegebenheiten. 19 Beilage 9, Merkblatt « Datenschutzrechtliche Aspekte der Firma X Datenbank». 20 Beilage 7, Firma X Antwortschreiben Auskunftsbegehren. 21 Beilage 8, Allgemeine Geschäftsbedingungen (AGB), Ziff. 5.4 und 6.2. 22 Beilage 10, Merkblatt «Häufi g gestellte Fragen».
154 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 31 Daher sind die Merkblätter «Datenschutzrechtliche Aspekte der Firma X Daten- bank» und «Häufi g gestellte Fragen» an das geltende Recht anzupassen. 3.2 Zahlungserfahrungen (Bonitätsscoring) 32 Die Firma X bewertet die Zahlungserfahrung anhand einer Skala von A bis D, wo- bei betroffene Personen in die Kategorie A eingestuft werden, wenn keine Zah- l ungsstörungen bekannt sind, in Kategorie B, wenn geringfügige Fälle bekannt sind, in Kategorie C, wenn erhebliche Fälle bekannt sind und in Kategorie D, wenn schwerwiegende Fälle bekannt sind. Hierbei wissen die betroffenen Personen nicht in welche Kategorie sie eingestuft werden. Zudem wissen weder sie noch die Kunden des «Auskunftservice A», wie die Fälle eingestuft werden und welche Informationen für die Einteilung der Kategorien herangezogen werden. Nach Aus- sagen der Firma X wird die Kategorisierung mathematisch aus den nachfolgenden Daten berechnet: Schwere der Zahlungsstörung (ein Konkurs wiegt schwerer als ein Inkassofall), Alter des Ereignisses (aktuellere wiegen schwerer als frühere) und Anzahl der Zahlungsstörungen (viele wiegen schwerer als einzelne) 23 . Indem die Firma X nicht zu erkennen gibt, welche Daten sie zur Kategorisierung der Zah- lungserfahrungen heranzieht und wie sie die Betroffene einstuft, verletzt sie den Grundsatz der Erkennbarkeit gemäss Art. 4 Abs. 4 DSG. 33 Demzufolge sind die Bewertung der Zahlungserfahrungen in A, B, C und D, die Kriterien der Berechnung, die einzelnen Zahlungserfahrungen sowie die Ampelbe- wertung für die betroffenen Personen und die Kunden der Firma X transparent zu gestalten. 3.3 Status einer Person 34 Die Firma X führt auf, dass der Personenstatus dazu dient, eine minderjährige, bevormundete oder verstorbene Person zu erkennen 24 . 23 Beilage 1, S. 4; Beilage 2, S. 3; Beilage 4 (Kategorie Entscheidungsmatrix); Beilage 5. 24 Beilage 4 (Kategorie Entscheidungsmatrix).
155 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 35 Es ist nicht ersichtlich, warum es notwendig sein sollte, das Merkmal «minderjäh- rige bzw. verstorbene Person» in der Datenbank zu führen, zumal der Vermieter mit seinem Interessennachweis über die erforderlichen Informationen verfügt. Da dieses Merkmal eng mit der Suchfunktionalität zusammenhängt, wird auf die Er- wägungen hinsichtlich der Suchfunktionalitäten (nachfolgend Rz 63 ff.) verwiesen. 3.4 Firmenbeziehungen mit negativen Daten 36 Die Firma X prüft, ob die betroffene Person in einer Beziehung zu Firmen mit Zah- lungsstörungen steht. Hierbei muss, ihren Angaben zufolge, ein Status «gelb» keine verschlechterte Bonität implizieren. Die Firma X bittet ihre Kunden daher zu prü- fen, ob die Art der Zahlungsstörung im Zusammenhang mit der Rechtsform, der Art und Grösse der Firma geeignet ist, die Bonität der Person zu beeinfl ussen 25 . 37 Die Beziehung einer Person zu einer Firma kann nur unter ganz speziellen Um- ständen einen Einfl uss auf die Bonität des Mietinteressenten haben. Zu denken ist hierbei insbesondere an Fälle, in denen die betroffene Person unbeschränkt haftender Gesellschafter an einer Kollektiv- oder Kommanditgesellschaft ist oder Inhaber einer Kapitalgesellschaft ist, deren Grundkapital noch nicht vollständig li- beriert wurde. Im «Auskunftservice A» ist jedoch nicht ersichtlich, welcher Art die Beziehung einer Pe rson zu einer Firma ist, welche Rechtsform die betreffende Firma hat und inwiefern sich die Beziehung zwischen der Person und der Firma gegenseitig bonitätsrelevant beeinfl ussen können. Deshalb ist der Grundsatz der Erkennbarkeit verletzt (Art. 4 Abs. 4 DSG). Zudem steht ein solcher Bonitätshinweis nur im Einklang mit dem DSG, wenn dieser tatsächlich geeignet ist, die Bonität der betroffenen Person zu beeinfl ussen. Nicht jede Verknüpfung einer betroffenen Person, mit einer Firma, welche Negativeinträge bei der Firma X aufweist, ist geeig- net, Rückschlüsse auf die Bonität der betroffenen Person zu ziehen. Eine generelle Verknüpfung zwischen betroffenen Personen und Unternehmen verstösst gegen das Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG). 38 Deshalb sind die Beziehungen einer betroffenen Person zu einer Firma und die Be- wertung der Bonität auf diejenigen Fälle zu beschränken, in welchen die durch die Verknüpfung gewonnen Informationen tatsächlich bonitätsrelevant sind. Zudem müssen die Verknüpfungsarten für die betroffenen Personen und die Kunden der Firma X erkennbar sein. 25 Beilage 4 (Kategorie Entscheidungsmatrix); Beilage 5.
156 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3.5 Durchschnittlichen Wohndauer an einer Adresse 39 Die Firma X führt die durchschnittliche Wohndauer im «Auskunftservice A», um ihren Kunden häufi ge Umzüge anzuzeigen. Ihrer Meinung nach können häufi ge Um züge in kurzen Abständen Hinweise darauf geben, dass Zahlungsstörungen bei Betreibungsämtern bekannt sein könnten. In einem solchen Fall rät die Firma X Betreibungsauskünfte der früheren Wohnorte zu verlangen 26 . 40 Für einen Vermieter kann es grundsätzlich von Vorteil sein, wenn dieser weiss, wie lange ein potentieller Mieter an einem Wohnort im Durchschnitt verweilt. Wie allerdings die EDSK im vorerwähnten Entscheid 27 festhält, hängt die Dauer eines Mietverhältnisses von verschiedenen Faktoren, wie Arbeit des Mieters inklusive der Familienmitglieder, Lebensumfeld, Geschmack des Mieters oder seiner Familie ab. Die EDSK hat die Frage nach der Länge des laufenden Mietverhältnisses als unverhältnismässig eingestuft. Neben der Tatsache, dass es sich bei der durch- schnittlichen Wohndauer nicht um ein bonitätsrelevantes Datum im Sinne von Art. 13 Abs. 2 lit. c DSG handelt, ist diese zudem völlig ungeeignet, um hieraus Rück- schlüsse auf einen potentiellen «Mietnomaden» zu ziehen. 41 Der EDÖB gibt zudem zu bedenken, dass die Aufstellung sämtlicher Wohnsitz- wechsel ein Persönlichkeitsprofi l gemäss Art. 3 lit. d DSG darstellt. Diesbezüglich ist ein überwiegendes privates Interesse der bearbeitenden Person gemäss Art. 13 Abs. 2 lit. c DSG explizit ausgeschlossen. Ob ein Persönlichkeitsprofi l vorliegt, ist im Einzelfall aufgrund der konkreten Umstände zu beurteilen. Angaben zu Wohnsitz- wechseln über einen Zeitraum von mehreren Jahren sind als Persönlichkeitsprofi l zu werten 28 . 42 Daher sind das Feld «Durchschnittliche Wohndauer an einer Adresse» und der Hinweis auf der Webseite «komplette SchuldnerHistorie aller uns bekannter Wohn- orte» unverhältnismässig und zu entfernen. 26 Beilage 3 (Kategorie Entscheidungsmatrix und alte Adresse(n)); Informationen Website. 27 VPB 68.153, Erw. 13. 28 BSK DSG Urs Belser, Art. 3 N 22.
157 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3.6 Bonität von Haushaltsmitgliedern 43 I m «Auskunftservice A» erhalten die Kunden der Firma X Daten mutmassliche Haushaltsmitglieder der gesuchten Person angezeigt, bei denen Zahlungsstörun- gen vorliegen. Die Firma X führt hierzu aus, dass eine gelbe Ampel hierbei keine v erschlechterte Bonität implizieren muss, sondern empfi ehlt die Bonität dieser Haushaltsmitglieder (bei Vorliegen eines Interessensnachweises) zu verifi zieren 29 . 44 Die Bonität von Haushaltsmitgliedern kann beim Abschluss eines Mietvertrages dann eine Rolle spielen, wenn der Mietvertrag von solidarisch haftenden Personen unterschrieb en werden soll. In diesem Fall kann auch jeweils ein Interessenach- weis vorgelegt und die betreffende Person ihrerseits separat mit Namen und Geburtsdatum im «Auskunftservice A» abgerufen werden. Daher ist die Notwen- digkeit einer solchen Verknüpfung der Daten nicht ersichtlich. Nach der Rechtspre- chung 30 dürfen in einem Mietformular Name, Vorname, Geburtsdatum, Beruf und Arbeitgeber nur von Personen erfragt werden, die den Mietvertrag mit unterzeich- nen. Da die Bonität der Haushaltsmitglieder nur dann eine Rolle spielt, wenn der Mietvertrag von diesen Personen unterzeichnet wird, ist die Verknüpfung von Bo- nitätsdaten der im selben Haushalt lebenden Personen als unverhältnismässig ge- mäss Art. 4 Abs. 2 DSG einzustufen. Zudem sind Bonitätsdaten über Haushaltsmit- glieder grundsätzlich nicht dazu geeignet, Rückschlüsse auf die Kreditwürdigkeit der betroffenen Person zu ziehen, weshalb sich die Firma X hierfür nicht auf den Rechtfertigungsgrund gemäss Art. 13 Abs. 2 Bst. c DSG berufen kann. Die Anzeige der Bonitätsdaten von Hausmitgliedern stellt daher eine widerrechtliche Persön- lichkeitsverletzung der betroffenen Person gemäss Art. 12 DSG dar, weshalb das Feld «Haushaltmitglieder Bonität» zu entfernen ist. 3.7 Datenbearbeitung zu weiteren Haushaltsmitgliedern 45 Die Firma X zeigt im «Auskunftservice A» an, ob im gleichen Haushalt möglicher- weise Ehe- oder Konkubinatspartner wohnhaft sein könnten. Hierzu wird anhand einer gleichen Telefonnummer oder einem übereinstimmenden Namen an einer identischen Wohnadresse automatisiert auf eine solche Partnerschaft geschlos- 29 Beilage 4, Kategorie Entscheidungsmatrix; Beilage 5. 30 VPB 68.153 und VPB 62.42A.
158 16. Tätigkeitsbericht 2008/ 2009 des EDÖB sen und der Status der betroffenen Person als gelb bewertet. Die Firma X merkt zudem an, dass der Status gelb in dieser Kategorie noch keine verminderte Boni- tät implizieren muss 31 . 46 Die Angabe, dass mehrere Personen die gleiche Telefonnummer nutzen oder meh- rere Personen mit gleichem oder verschiedenem Namen an der gleichen Adresse wohnhaft sind, reicht nicht aus, um hieraus auf bonitätsrelevante Informationen schliessen zu können. Nach derzeitiger Rechtsprechung 32 dürfen in einem Miet- formular Name, Vorname und Geburtsdatum nur von Personen erfragt werden, die den Mietvertrag mit unterzeichnen. Da die Bonität der Haushaltsmitglieder nur dann eine Rolle spielt, wenn sie den Mietvertrag unterzeichnen, ist die Datenbear- beitung weiterer Personen, die den Mietvertrag nicht unterschreiben, unverhält- nismässig (Art. 4 Abs. 2 DSG). Ausserdem wissen die im gleichen Haushalt leben- den Personen nicht, dass ihre Identifi kationsdaten miteinander in einer Datenbank verknüpft werden. Daher verstösst eine solche Datenbearbeitung zudem gegen das Erkennbarkeitsprinzip gemäss Art. 4 Abs. 4 DSG, weshalb das Feld «Weitere Haushaltsmitglieder» zu entfernen ist. 3.8 Ähnlichkeitstreffer 47 Von Seiten der Firma X werden bei jeder Personenauskunft Ähnlichkeitstreffer an- gegeben, wenn Personen den gleichen Namen oder dasselbe Geburtsdatum haben. Ziel ist es, nach Angaben der Firma X, das Verwechslungsrisiko zu minimieren 33 . 48 Grundsätzlich sollte bereits die Suchfunktionalität nach Name, Vorname, Adresse und Geburtsdatum genügen, um eine betroffene Person eindeutig zu identifi zie- ren, so dass die Notwendigkeit von Ähnlichkeitstreffern nicht gegeben ist. Zudem sind Ähnlichkeitstreffer in keinem Fall geeignet, um Rückschlüsse auf die Bonität der betroffenen Person zu ziehen, weshalb die Firma X diesbezüglich kein über- wiegendes privates Interesse geltend machen kann (Art. 13 Abs. 2 lit. c DSG). Daher ist diese Information als unverhältnismässig gemäss Art. 4 Abs. 2 DSG zu qualifi zie- ren und demzufolge ist das Feld «Ähnlichkeitstreffer» zu entfernen. 31 Beilage 4, Kategorie Entscheidungsmatrix; Beilage 5. 32 PB 68.153 und VPB 62.42A. 33 Beilage 4, Kategorie Entscheidungsmatrix; Beilage 5.
159 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4. Zur Gewährung des Zugangs zum «Auskunftservice A» 49 Als Bedingung für den Zugang prüft die Firma X, ob ein Antragssteller als professio- neller Wohnungsvermieter qualifi ziert werden kann und ob die vom Antragssteller genannte Firma tatsächlich existiert. In den AGB verpfl ichten sich die Vertragpart- ner (auch für den Testzugang), für jede getätigte Nachfrage einen Interessennach- weis aufzubewahren und der Firma X diesen auf Ersuchen hin vorzulegen (Stich- probenkontrolle). Der Interessennachweis entspricht nach Auskunft der Firma X demjenigen für Betreibungsauskünfte nach SchKG (SR 281.1) 34 . Während die Firma X vor der Sitzung mit dem EDÖB grundsätzlich jedem Vermieter einen Zugang zum «Auskunftservice A» gewährte, wird diese Dienstleistung nur noch Firmen (pro- fessionelle Wohnungsvermieter) angeboten 35 . Inzwischen ist dem EDÖB allerdings bekannt geworden, dass auch Versicherungen, die Mietkautionsversicherungen anbieten, den «Auskunftservice A» nutzen können. 50 Bonitätsdaten dürfen gemäss Art. 12 Abs. 2 lit. c DSG nur zum Zweck der Prüfung de r Kreditwürdigkeit im Rahmen des Abschluss und der Abwicklung eines Ver- trages mit der betroffenen Person bearbeitet werden. 51 Obwohl der «Auskunftservice A» grundsätzlich von jedem Vermieter genutzt werden könnte, ist die Missbrauchsgefahr gross, wenn jeder beliebige Vermieter hierauf Zugriff hätte. Daher begrüsst der EDÖB die Beschränkung des Nutzerkreises. Eine Nutzung dieses Services durch eine Mieterkautionsversicherung ist dementspre- chend nur dann möglich, wenn sich die Datenweitergabe nur auf Bonitätsdaten beschränkt. Weitergehende Informationen sind für die jeweilige Versicherung zwar für die Risikoabschätzung der betroffenen Person nützlich, werden allerdings nicht zum Abschluss oder zur Abwicklung einer solchen Versicherung benötigt. 52 Für die Überprüfung, ob die via «Auskunftservice A» bezogene Daten tatsächlich für den Abschluss eines Mietvertrages verwendet werden, ist datenschutzrecht- lich einzig die Firma X verantwortlich, da sie den Zugang erteilt. 53 Der Zugriff auf den «Auskunftservice A» erfolgt, nachdem ein Vertrag mit der Firma X abgeschlossen wird. Wenn die Firma X die Interessennachweise der Zugangsbe- rechtigten nur stichprobenhaft herausverlangt, übernimmt sie datenschutzrechtlich das Risiko, dass die Datenbekanntgabe an Kunden erfolgen kann, die im Einzel- 34 Beilage 1, S, 5. 35 Beilage 2, S. 3.
160 16. Tätigkeitsbericht 2008/ 2009 des EDÖB fall keinen Interessennachweis vorlegen können. Steht im Nachhinein fest, dass der betreffende Kunde keinen Interessennachweis erbringen kann, hat die Daten- schutzverletzung bereits stattgefunden. Die Firma X kann in einem solchen Fall für entstandene Schäden haftbar gemacht werden. 54 Wenn die Kunden der Firma X gleichzeitig einen Betreibungsregisterauszug be- stell en, der via Tochtergesellschaft Firma A eingeholt wird, muss vorgängig ein Interessennachweis von der Firma X bzw. der Firma A eingeholt werden, denn ohne diesen Nachweis wäre die Bestellung eines aktuellen Betreibungsregister- auszuges auch nicht möglich. In diesen Zusammenhang ist zu vermerken, dass gemäss EDSK Entscheid, ein Betreibungsregisterauszug im Zusammenhang eines Mietvertrages immer erst dann eingeholt werden darf, wenn mit dem Mieter defi - nitiv ein Mietvertrag abgeschlossen werden soll. Diesbezüglich ist die Firma X da- tenschutzrechtlich dafür verantwortlich, dass ein Betreibungsregisterauszug erst dann verlangt und die in der Datenbank der Firma X entsprechend gespeicherten Daten erst dann abgerufen werden dürfen, wenn mit dem Mieter defi nitiv der Ver- trag abgeschlossen werden soll. 55 Der Zugang zum «Auskunftservice A» ist für Mietkautionsversicherungen so ein- zuschränken, dass nur noch die für den Abschluss und die Abwicklung eines Ver- trages relevanten Bonitätsdaten übermittelt werden. Die Firma X hat organisato- risch und technisch dafür zu sorgen, dass möglichst keine unberechtigten Abfra- gen im «Auskunftservice A» vorgenommen werden können. 5. Datensicherheit 56 Der Zugang zum «Auskunftservice A» erfolgt via Internet über einen passwortge- schützten und verschlüsselten (128 Bit SSL) Bereich. Vertraglich lässt sich die Firma X zudem in Ziff. 6.1 der AGB zusichern, dass das Passwort nur von den berechtigten Personen genutzt werden darf und eine Weitergabe an Dritte untersagt ist. Aus- serdem trägt der Benutzer die Verantwortung, dass das Passwort in regelmässigen Abständen geändert wird und jeden Monat eine Bewegungsstatistik erstellt wird. Nach Aussage der Firma X wird jedoch eine Passwortänderung nach einer gewis- sen Frist (30 - 60Tage) erzwungen 36 . 36 Beilage 1, S. 5.
161 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 57 Die Firma X protokolliert sämtliche Zugriffe auf die Datenbank. Nach eigenen An- gaben, deaktiviert sie den Zugang umgehend, wenn sie einen Missbrauch fest- stellt 37 . In einem dem EDÖB bekannten Fall wurde in Vorbereitung einer Sendung des Schweizer Fernsehens der Zugang missbräuchlich genutzt. Die Firma X hat zwar zunächst den Zugang korrekterweise gesperrt, diesen aber wieder frei ge- schaltet und damit in Kauf genommen, dass ohne Interessennachweis Abfragen möglich wurden. 58 Nach Art. 7 DSG müssen Personendaten gegen unbefugtes Bearbeiten durch an- gemessene technische und organisatorische Massnahmen geschützt werden. Ins- besondere muss der Datenbearbeiter gemäss Art. 8 Abs. 1 der Verordnung zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11) für die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten sorgen. Die Bekanntgabekontrolle (Art. 9 Abs. 1 Bst. d VDSG) gewährleistet die Firma X insofern, als sie die Zugriffe pro- tokolliert und den Benutzern die Daten lediglich über einen verschlüsselten und passwortgesicherten Bereich zugänglich macht 38 . 59 Diesbezüglich sorgt die Firma X aus technischer Sicht in ausreichendem Masse für die Datensicherheit. Aus organisatorischer Sicht wurde mindestens bei der Zu- gangserteilung an den Kassensturz die Datensicherheit gemäss Art. 7 DSG nicht gewährleistet. 60 Ein Ausschluss der Haftung und eine Delegation der datenschutzrechtlichen Ver- antwortung an die Benutzer betreffend der Datensicherheit sind vertraglich nicht möglich und verstossen gegen Art. 7 DSG, weshalb die AGB entsprechend anzu- passen sind. Demzufolge hat die Firma X organisatorische Massnahmen zu treffen, damit ein unberechtigter Zugriff frühzeitig erkannt wird und der entsprechende Zugang zu ihrer Datenbank gesperrt wird und solange gesperrt bleibt, bis ein Miss- brauch ausgeschlossen werden kann. Auch sind die AGB hinsichtlich der Pfl icht des Datenbearbeiters bei der Datensicherheit gemäss Art. 7 DSG anzupassen. 37 Beilage 1, S. 5. 38 BSK-DSG, Kurt Pauli, Art. 7 N 13.
162 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 6. Datenrichtigkeit 61 In Ziffer 7.1 ihrer AGB schliesst die Firma X jede Haftung hinsichtlich Vollständigkeit und Richtigkeit der Daten ausdrücklich aus. 62 Gemäss Art. 5 Abs. 1 DSG hat derjenige, der Personendaten bearbeitet, sich über deren Richtigkeit zu vergewissern. Indem die Firma X jede Haftung hinsichtlich Voll- ständigkeit und Richtigkeit der Daten gemäss Ziff. 7.1 AGB ausschliesst, verstösst sie gegen Art. 5 Abs. 1 DSG. Ein solcher Ausschluss der Haftung und eine Delega- tion der datenschutzrechtlichen Verantwortung an die Benutzer sind vertraglich nicht möglich, weshalb die AGB hinsichtlich der Pfl icht des Datenbearbeiters bei der Datenrichtigkeit gemäss Art. 5 Abs. 1 DSG anzupassen sind. 7. Suchfunktionalitäten 63 Die Suchfunktionalitäten im «Auskunftservice A» sind so ausgestaltet, dass allein aufgrund eines Attributmerkmals (Name, Strasse etc.) eine Suche ausgelöst wer- den kann, die zu Treffern führt. Die Suchergebnisse sind auf eine Liste von ca. 50 Namen begrenzt 39 . 64 Mit der jetzigen Ausgestaltung der Suchfunktionalität können Zugangsberechtigte mehr Daten einsehen als notwendig. In den AGB legt die Firma X fest, dass der Zugangsberechtigte nur auf die tatsächlich benötigten Daten zugreifen darf, für die er einen Interessensnachweis erbringen kann 40 . 65 Diesbezüglich hat einerseits der Kunde die datenschutzrechtliche Verantwortung, nur die Daten von Personen abzufragen, für die ein Interessennachweis vorhanden ist. Andererseits hat aber auch die Firma X eine datenschutzrechtliche Verantwor- tung. Sie muss nach dem Grundsatz der Verhältnismässigkeit gemäss Art. 4 Abs. 2 DSG und dem Grundsatz der Datensicherheit gemäss Art. 7 DSG dafür sorgen, dass nur tatsächlich benötigte Daten abgefragt werden können. Die Firma X muss also auch technische Massnahmen ergreifen, damit eine einschränkende Suche möglich ist. Demzufolge sind die Suchfunktionalitäten so auszugestalten, dass die Firma X stufenweise von den Kunden die Eingabe von Kriterien verlangt, die jeweils von der Anzahl der gelieferten Suchtreffer abhängig ist. Die Suchkriterien wären 39 Beilage 1, S. 5. 40 Beilage 8, Ziff. 6.1 AGB.
163 16. Tätigkeitsbericht 2008/ 2009 des EDÖB in der erweiterten Suche zunächst Name und Vorname, dann Geburtsdatum, wei- ter Wohnort und schliesslich Adresse. Da der Kunde über die notwendigen Infor- mationen verfügt, ist eine solche Suche für ihn möglich. Dadurch werden keine Ähnlichkeitstreffer mehr angezeigt, da die Suche fortlaufend mittels Aufforderung erweitert werden kann, bis schliesslich die gesuchte Person angezeigt wird. 66 Mit einer solchen Lösung könnte im Einklang mit Art. 9 Abs. 1 Bst. g VDSG technisch und organisatorisch besser gewährleistet werden, dass Zugangsberechtigte nur auf tatsächlich benötigte Daten zugreifen können. 67 Demzufolge sind die Suchfunktionalitäten zwingend so zu auszugestalten, dass der Kunde bei der Suche nach einer Person stufenweise Kriterien eingeben muss, die jeweils von der Anzahl Suchtreffern abhängig sind. 8. Auskunfts- und Löschungsbegehren 68 Nach eigenen Angaben erledigt die Firma X Auskunfts- und Löschungsbegehren betreffend «Auskunftservice A» innerhalb von 2 bis 3 Tagen. Die Überprüfung der Identität des Auskunftsersuchenden erfolgt aufgrund der Kopie eines amtlichen Ausweises wie Pass, Identitätskarte oder Führerausweis 41 . Die Auskunft wird in der Regel in einem Standardbrief 42 und einem Auszug aus der Datenbank der Firma X erteilt, der folgende Daten enthält: • Info über die Person (Status) mit Adresse, Telefonnummer, Faxnummer, Email, Geburtsdatum, Geschlecht und Geburtsort; • Publikationen; • Zahlungserfahrungen (Anzahl Zahlungserfahrungen, Aktuellster Fall, Forde- rungssumme, offener Betrag und Forderungsstatus); • Auskünfte und Inkassomeldungen. 69 I m Standardantwortbrief wird mitgeteilt, dass die Datenbank der Firma X Perso- nendaten enthält, die von den Kunden der Firma X zur Prüfung der Kreditwür- digkeit im Zusammenhang mit dem Abschluss eines Vertrages benötigt werden 41 Beilage 1, S. 6. 42 Beilage 11, Firma X Standardantwortbrief Auskunftsbegehren.
164 16. Tätigkeitsbericht 2008/ 2009 des EDÖB und ob über den Kunden negative Bonitätsdaten bekannt sind. Zudem wird auf das Merkblatt «Datenschutzrechtliche Aspekte der Firma X Datenbank» sowie das Blatt «Häufi g gestellte Fragen» verwiesen. Diese Merkblätter sowie Hinweise auf Auskunfts- und Löschungsrechte werden von der Firma X nicht auf ihrer Webseite veröffentlicht. 70 Im Rahmen des Auskunftsersuchens erhält die betroffene Person von der lediglich ihre in der Datensammlung gespeicherten Personendaten 43 . Hingegen erhält die betroffene Person keinerlei Auskunft über Daten, welche die Firma X anhand der in ihrer Datensammlung vorhanden Daten berechnet (z.B. Scorings, Kennzahlen, etc.) oder verknüpft und welche sie Dritten bekannt gibt. 71 Nach Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden und ob der Dateninhaber sich auf einen Rechtfertigungsgrund für die Datenbearbeitung berufen kann. Die Gewährung des Auskunftsrechts ist die Voraussetzung, um zu erkennen, we lche Daten über eine betroffene Person bearbeitet werden und um weitere (Daten- schutz-)Rechte, wie beispielsweise das Löschungs- und Berichtigungsrecht, erst geltend machen zu können. 72 Das Auskunftsrecht bezieht sich hierbei auf alle Daten über eine Person in einer Datensammlung, die ihr zugeordnet werden können. Es erstreckt sich auf jede Art von Information, die auf die Vermittlung oder die Aufbewahrung von Kennt- nissen ausgerichtet ist, ungeachtet, ob es sich dabei um eine Tatsachenfeststel- lung oder um ein Werturteil handelt und ob diese Information in einer Datenbank abgespeichert oder nur zur Ansicht jeweils berechnet wird. Entscheidend für die Qualifi kation als Personendaten, die vom Auskunftsrecht erfasst sind, ist, dass sich die Angaben einer oder mehreren Personen zuordnen lassen. Wie der Bezug zur betroffenen Person hergestellt wird, ist hierbei ohne Bedeutung. Wesentlich ist, dass die Zuordnung ohne unverhältnismässigen Aufwand möglich ist 44 . Auskunft zu erteilen ist über alle Daten, die sich auf die auskunftsersuchende Person bezie- hen (Art. 3 Bst. a DSG) und die ihr zugeordnet werden können (Art. 3 Bst. g DSG). Wird die Auskunft verweigert, eingeschränkt oder aufgeschoben, muss nach Art. 9 Abs. 4 DSG hierfür ein Grund angegeben werden. 43 Beilage 11. 44 BSK DSG Urs Belser, Art. 3 N 5, VBP 62.57, E 4.
165 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 73 Gegenüber ihren Kunden bietet die Firma X neben den bei ihr gespeicherten Daten segmentspezifi sche Ratings (z.B. in Form von Ampeln) der betroffenen Personen an. Im Rahmen der Wahrnehmung ihres Auskunftsrechts erhalten hingegen die be- troffenen Personen lediglich einen Auszug über die von der Firma X gespeicherten Adress- und Bonitätsdaten. Die Merkblätter «Häufi g gestellte Fragen» und «Daten- schutzrechtliche Aspekte der Firma X Datenbank» erwähnen nirgends, dass diese Daten der betroffenen Person weiterbearbeitet werden (z.B. in Form von Ratings oder dem Ampelsystem). 74 Z ugangsberechtigte ersehen beim «Auskunftservice A» einen grösseren Datensatz als der betroffenen Person im Rahmen ihrer Auskunftsbegehren mitgeteilt werden. Somit ist für die betroffenen Personen nicht erkennbar, welche Daten über sie von der Firma X bearbeitet werden (Art. 4 Abs. 4 DSG). Gerade aus diesem Grund können die betroffen en Personen auch nicht ausreichend von ihrem Recht auf Datenberich- tigung gemäss Art. 5 Abs. 2 DSG Gebrauch machen. Damit liegt eine widerrechtliche Persönlichkeitsverletzung vor. Indem Firma X in Auskunftsbegehren nicht alle objek- tiv erschliessbaren Daten den betroffenen Personen mitteilt, bzw. eine Einschrän- kung des Auskunftsrechts begründet, verletzt sie die Pfl ichten nach Art. 8 und 9 DSG. Es wird darauf hingewiesen, dass betroffene Personen gemäss Art. 15 DSG eine Klage beim Zivilrichter einreichen können. Zudem kann bei vorsätzlicher Verletzung der Auskunftspfl icht auch eine Strafklage erhoben werden (Art. 34 Abs. 1 DSG). 75 Demzufolge sind den betroffenen Personen auf Auskunftsersuchen hin sämtliche Informationen auszuhändigen, welche von der Firma X bearbeitet werden (unab- hängig davon, ob diese in deren Datensammlung gespeichert sind oder bei Bedarf aus dem Datenbestand berechnet werden) und die ersuchende Person betreffen (auch wenn es sich hierbei um Daten handelt, welche nicht im Datensatz der be- troffenen Person gespeichert sondern nur verknüpft werden).
166 16. Tätigkeitsbericht 2008/ 2009 des EDÖB III. Empfehlungen Aufgrund dieser Erwägungen empfi ehlt der Eidgenössische Datenschutz- und Öffent- lichkeitsbeauftragte (EDÖB) 1. Das Merkblatt «Datenschutzrechtliche Aspekte der Firma X Datenbank» so- wie das Merkblatt «Häufi g gestellte Fragen» sind an das geltende Recht anzu- passen. 2. Die Bewertung der Zahlungserfahrungen in A, B, C und D, die Kriterien der Berechnung, die einzelnen Zahlungserfahrungen sowie die Ampelbewertung sind transparent zu gestalten. 3. Die Beziehungen einer betroffenen Person zu einer Firma und die Bewertung der Bonität sind auf die Fälle zu beschränken, in welchen die durch die Ver- kn üpfung gewonnenen Informationen tatsächlich bonitätsrelevant sind. Zu- dem müssen die Verknüpfungen für die betroffene Person und die Kunden der Firma X erkennbar sein. 4. Das Feld «Durchschnittliche Wohndauer an einer Adresse», der Hinweis auf der Website «komplette Schuldnerhistorie aller uns bekannter Wohnorte» so- wie die Felder «Haushaltmitglieder Bonität», «Weitere Haushaltsmitglieder» und « Ähnlichkeitstreffer» sind zu entfernen. 5. Der Zugang zum «Auskunftservice A» ist für Mieterkautionsversicherungen so einzuschränken, dass nur noch die für den Abschluss und die Abwicklung des Vertrages relevanten Bonitätsdaten übermittelt werden. 6. Die Firma X hat organisatorische Massnahmen zu treffen, damit ein unbe- rechtigter Zugriff frühzeitig erkannt wird und der entsprechende Zugang zu ihrer Datenbank gesperrt wird und solange gesperrt bleibt, bis ein Missbrauch ausgeschlossen werden kann. 7. Die AGB sind hinsichtlich der Pfl icht des Datenbearbeiters bei der Datensi- cherheit gemäss Art. 7 DSG und sowie seiner Pfl icht bei der Datenrichtigkeit gemäss Art. 5 Abs. 1 DSG anzupassen.
167 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 8. Die Suchfunktionalität ist zwingend so zu auszugestalten, dass der Kunde bei der Suche nach einer Person stufenweise Kriterien eingeben muss, die jeweils von der Anzahl Suchtreffern abhängig ist. 9. Den betroffenen Personen ist laut Auskunftsersuchen hin sämtliche Informati- onen auszuhändigen, welche von der Firma X bearbeitet werden (unabhängig davon, ob diese in deren Datensammlung gespeichert sind oder bei Bedarf aus dem Datenbestand berechnet werden) und die ersuchende Person be- treffen (auch wenn es sich hierbei um Daten handelt, welche nicht im Daten- satz der betroffenen Person gespeichert, sondern verknüpft werden). Die Firma X teilt dem EDÖB innerhalb von 30 Tagen ab Erhalt dieser Empfehlung mit, ob sie die Empfehlung annimmt oder ablehnt. Wird diese Empfehlung nicht befolgt oder abgelehnt, so kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 DSG). Bei Annahme der Empfehlung gilt der Firstablauf (30 Tage) gleichzeitig als Fristbeginn für die Umsetzung der genannten Massnahme. Die vorliegende Empfehlung wird in Anwendung von Art. 30 Abs. 2 DSG in anonymi- sierter Form publiziert. EIDGENÖSSISCHER DATENSCHUTZ- UND ÖFFENTLICHKEITSBEAUFTRAGTER Hanspeter Thür
168 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4.1.7 Entschliessung über die Dringlichkeit des Schutzes der Privatsphäre in einer Welt ohne Grenzen 30. Internationale Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre Straßburg, 15. - 17. Oktober 2008 Entschließung über die Dringlichkeit des Schutzes der Privatsphäre in einer Welt ohne Grenzen und die Erarbeitung einer gemeinsamen Entschließung zur Erstellung internationaler Normen zum Schutz der Privatsphäre und zum Schutz personenbezogener Daten Antragsteller: Die Agencia de Protección de Datos (Spanien) und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Schweiz) Unterstützt von: Der Commission nationale de l’Informatique et des Libertés (Frankreich) Dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Dem Garante per la Protezione dei Dati Personali (Italien) Dem Staatlichen Inspektorat für den Datenschutz der Republik Litauen Dem Amt für Datenschutz der Republik Tschechien Der griechischen Datenschutzbehörde Der niederländischen Datenschutzbehörde Dem Europäischen Datenschutzbeauftragten Dem Generalinspekteur für den Datenschutz (Polen) Dem Datenschutzbeauftragten von Irland Der Nationalen Direktion für den Datenschutz von Argentinien
169 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Der Agence de protection des données de la Principauté d’Andorre Dem Amt des Informationsbeauftragten (Vereinigtes Königreich) Der Nationalen Kommission für den Datenschutz (Portugal) Dem Beauftragten für den Schutz der Privatsphäre von Neuseeland Dem Datenschutzbeauftragten von Guernsey Dem Berliner Beauftragten für Datenschutz und Informationsfreiheit Der Datenschutzbehörde des Baskenlandes (Spanien) Der Datenschutzbehörde von Katalonien (Spanien) Der Datenschutzbehörde von Madrid (Spanien) Die Konferenz erinnert daran, dass:
den universellen Charakter des Rechts auf Datenschutz und auf den Schutz der Privatsphäre stärken wollen und zur Erstellung eines universellen Übereinkommens zum Schutz des Menschen bei der automatischen Ver- arbeitung personenbezogener Daten aufrufen.
170 16. Tätigkeitsbericht 2008/ 2009 des EDÖB staaten dieser Organisation, die eine entsprechende Datenschutzgesetz- gebung besitzen, aufzufordern, dem Übereinkommen (STE Nr. 108) und seinem Zusatzprotokoll (STE Nr. 181) beizutreten.
171 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
Die mittel- und osteuropäischen Datenschutzbehörden (APDCO) auf ih- rer jüngsten Tagung im Juni 2008 in Polen ihren Willen bekundet haben, ihre Aktivitäten im Rahmen von APDCO fortzusetzen und zu verstärken und insbesondere gemeinsame Lösungen zu erarbeiten und die neuen Mitglieder bei der Implementierung ihrer Datenschutzgesetzgebung zu unterstützen.
172 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Die Konferenz ist der Ansicht, dass:
die Umsetzung der von Organisationen wie der APEC oder der OECD ent- wickelten Leitlinien, insbesondere derjenigen, die die Annahme eines in- ternationalen Rahmens zur Verbesserung der Achtung des Rechts auf Da- tenschutz und auf den Schutz der Privatsphäre bei grenzüberschreitenden Datenfl üssen betreffen, eine positive Etappe zur Erreichung dieses Ziels darstellt;
173 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
Die Konferenz unterstützt die Initiativen der APEC, der OECD und anderer regi- onaler Organisationen und internationaler Foren für die Entwicklung wirksamer Mittel zur Förderung besserer internationaler Standards für den Datenschutz und den Schutz der Privatsphäre.
174 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3. Die Konferenz beauftragt eine Arbeitsgruppe, die von der den 31. Internationa- len Konferenz ausrichtenden Behörde koordiniert wird und sich aus den interes- sierten nationalen Datenschutzbehörden zusammensetzt, einen gemeinsamen Vorschlag zur Erstellung internationaler Normen zum Schutz der Privat- sphäre und zum Schutz personenbezogener Daten abzufassen und ihr auf ihrer nichtöffentlichen Sitzung vorzulegen, wobei folgender Kriterien vorgegeben werden:
Erarbeitung einer Zusammenstellung von Prinzipien und Rechten, die die bestehenden Texte widerspiegelt und ergänzt und dadurch die Erreichung eines Höchstmaßes an internationaler Akzeptanz zur Sicherung eines hohen Schutzniveaus ermöglicht;
175 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4.1.8 Entschliessung zum Schutz der Privatsphäre von Kindern im Internet 30. Internationale Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre Straßburg, 17. Oktober 2008 Entschließung zum Schutz der Privatsphäre von Kindern im Internet Antragstellerin: Die Datenschutzbeauftragte von Kanada Unterstützt durchs: Datenschutzbeauftragter, Neuseeland La Commission Nationale de l’Informatique et des Libertés (Frankreich) Datenschutzbeauftragter, Irland Beauftragter für den Datenschutz und Informationsfreiheit, Berlin Überall in der Welt gehen die Jugendlichen von zu Hause und von der Schule aus sowie über ihre kabellosen Geräte ins Internet. Sie nutzen das Internet zur sozialen Interaktion – sie tauschen Geschichten, Ideen, Fotos und Videos aus, sie bleiben den Tag über durch SMS-Mitteilungen in Kontakt mit ihren Freunden und sie beteiligen sich an Online-Spielen gemeinsam mit anderen Personen am anderen Ende der Welt. Dabei werden die Jugendlichen auch mit den Schwierigkeiten und Herausforderungen bezüglich des Schutzes ihrer persönlichen Daten im Internet konfrontiert. Das Fehlen einer Regelung bei zahlreichen Internetdiensten macht die Sache schwierig. Viele der bei Jugendlichen beliebtesten Websites sammeln große Mengen personenbezogener Daten für Verkaufs- und Marketingzwecke. Mit steigender Anzahl der im Internet angebotenen Anwendungen und Technologien wird die Menge der gesammelten und aufbewahrten personenbezogenen Daten im- mer größer. Heute sind sich die Jugendlichen oft nicht darüber bewusst, dass ihre Aus- künfte, ihre Gewohnheiten und ihre Verhaltensweisen im Internet überwacht werden.
176 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Untersuchungen zeigen, dass die Jugendlichen (wie auch zahlreiche Erwachsene) nur selten die Geheimhaltungserklärungen der von ihnen besuchten Websites lesen, was nicht überrascht, denn die Vertraulichkeitserklärungen zahlreicher Websites sind in einer technischen oder juristischen Fachsprache abgefasst, die für die meisten Leser schwer verständlich ist. Wenn auch manche Jugendliche die mit ihren Online-Aktivitäten verbundenen Ge- fahren erkennen, so verfügen sie doch nicht über die Erfahrung, die technischen Kenntnisse oder die nötigen Instrumente, um diese Gefahren zu mindern. Oft kennen sie ihre gesetzlichen Rechte nicht. Vor fast 20 Jahren hat die Generalversammlung der Vereinten Nationen 1989 ein Übereinkommen über die Rechte des Kindes verabschiedet. In diesem heißt es, dass die Staaten die Rechte des Kindes achten und schützen müssen, einschließlich ihres Rechtes auf den Schutz ihrer Privatsphäre. Seit dieser Zeit bereiteten den Datenschutzbeauftragten die Verletzungen der Privat- sphäre von Kindern im Internet immer mehr Sorgen. In der am 20. Februar 2008 vom Ministerrat des Europarats angenommenen Erklärung zum Schutz der Würde, Sicherheit und der Privatsphäre von Kindern im Internet zeigt sich dieser von der Notwendigkeit überzeugt, Kinder über die lange Speicherdauer und über die Risiken der von ihnen ins Internet eingestellten Inhalte aufzuklären. Er erklärte darüber hinaus, dass, anders als bei der Strafverfolgung, keine fortbestehen- den oder dauerhaft zugänglichen Aufzeichnungen über die von Kindern ins Internet eingestellten Inhalte existieren sollten, die deren Würde, Sicherheit und Privatsphäre angreifen oder ihnen auf andere Art und Weise jetzt oder zu einem späteren Zeitpunkt ihres Lebens schaden können. Die Datenschutzbeauftragten haben zugleich erkannt, dass ein auf Erziehung ausge- richt eter Ansatz, verbunden mit einer Regelung des Datenschutzes, eine der wirk- samsten Methoden zur Bewältigung dieses Problems darstellt. So haben mehrere Län- der innovative, auf Erziehung angelegte Konzepte umgesetzt, um der Herausforderung zu begegnen, die der Schutz der Privatsphäre von Kindern im Internet darstellt. Kinder und Jugendliche haben ein Recht darauf, sich online sicher bewegen und po- sitive Erfahrungen machen zu können, bei denen sie die Absichten der Personen, mit denen sie interagieren, kennen und verstehen.
177 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Die auf der 30. internationalen Konferenz versammelten Beauftragten für den Datenschutz und für die Privatsphäre haben beschlossen:
miteinander zu arbeiten, um beispielhafte Praktiken auszutauschen und Aktivi- täten zur Erziehung der Öffentlichkeit durchzuführen, um Kinder und Jugendliche stärker zu sensibilisieren hinsichtlich der Gefahren in Bezug auf den Schutz ihrer Privatsphäre, die mit ihren Online-Aktivitäten verbunden sind, und bezüglich der sich ihnen bietenden Möglichkeiten einer aufgeklärten Wahl, um ihre persönlichen Informationen zu kontrollieren;
178 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4.1.9 Entschliessung zum Datenschutz in sozialen Netzwerkdiensten 30. Internationale Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre Straßburg, 15. - 17. Oktober 2008 Entschließung zum Datenschutz in Sozialen Netzwerkdiensten Antragsteller: Berliner Beauftragter für Datenschutz und Informationsfreiheit, Deutschland Unterstützt durch:
Commission Nationale de l’Informatique et des Libertés (CNIL), Frankreich; Bundesbeauftragter für Datenschutz und Informationsfreiheit, Deutschland; Garante per la protezione dei dati personali, Italien; College Bescherming Persoonsgegevens, Niederlande; Privacy Commissioner, Neuseeland; Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Schweiz Entschließung Soziale Netzwerkdienste 1 haben in den letzten Jahre große Beliebtheit erworben. Diese Dienste bieten ihren Teilnehmern Interaktionsmöglichkeiten auf der Basis von selbst generierten persönlichen Profi len, die in einem noch nie da gewesenen Aus- maß die Veröffentlichung persönlicher Informationen zu den betreffenden Personen 1 «Ein sozialer Netzwerkdienst stellt ab auf den Aufbau [...] sozialer Online-Netzwerke für Gruppen von Menschen, die gemeinsame Interessen und Aktivitäten teilen oder daran interessiert sind, die Interessen und Aktivitäten Anderer zu erkunden [...]. Die meisten Dienste sind hauptsächlich webbasiert und bieten Nutzern eine Reihe verschiedener Interaktionsmöglichkeiten [...]». Zitat aus Wikipedia: http://en.wikipedia.org/wiki/Social_network_service.
179 16. Tätigkeitsbericht 2008/ 2009 des EDÖB (und auch anderen Personen) mit sich bringen. Die sozialen Netzwerkdienste bieten zwar ein neues Spektrum von Möglichkeiten für Kommunikation und den Echtzeit- Austausch von nformationen jeder Art, die Nutzung dieser Dienste kann jedoch auch eine Gefährdung der Privatsphäre ihrer Nutzer - und Anderer - mit sich bringen, denn personenbezogene Daten einzelner Personen werden in bisher unbekannter Weise und Menge öffentlich (und global) zugänglich, einschließlich großer Mengen digitaler Fotos und Videos. Der Einzelne läuft Gefahr, die Kontrolle über die Nutzung der Daten durch Andere zu verlieren, wenn sie erst einmal im Netzwerk publiziert sind: Während der Community- Bezug sozialer Netzwerke die Vorstellung erweckt, die Veröffentlichung der eigenen persönlichen Daten laufe in etwa auf das Gleiche hinaus, wie früher das Mitteilen von Information unter Freunden von Angesicht zu Angesicht, können Profi ldaten tatsäch- li ch für alle Teilnehmer einer Community (deren Zahl in die Millionen gehen kann) verfügbar sein. Derzeit gibt es wenig Schutz dagegen, dass personenbezogene Daten jeder Art aus Profi len kopiert werden – durch andere Mitglieder des Netzwerks oder durch unbe- fugte netzwerkfremde Dritte – und zum Aufbau von Persönlichkeitsprofi len verwendet werden oder dass die Daten anderweitig wieder veröffentlicht werden. Es kann sehr schwierig - und manchmal unmöglich - sein zu erreichen, dass Daten, wenn sie ein- mal publiziert sind, wieder vollständig aus dem Internet entfernt werden. Selbst nach ihrer Löschung auf der ursprünglichen Website (z.B. dem sozialen Netzwerk) können Kopien bei Dritten oder bei den Anbietern der sozialen Netzwerkdienste verbleiben. Personenbezogene Daten aus Nutzerprofi len können auch außerhalb des Netzwerks bekannt werden, wenn sie von Suchmaschinen indexiert werden. Hinzu kommt, dass manche Anbieter sozialer Netzwerkdienste über Applikationsprogrammierschnittstel- len Drittanbietern Nutzerdaten zur Verfügung stellen, die dann unter der Kontrolle die- ser Dritten stehen. Ein Beispiel von Wiederverwendungen, das großes öffentliches Aufsehen erregt hat, ist die Praxis von Personalverantwortlichen, Nutzerprofi le von Stellenbewerbern oder Ang estellten zu durchsuchen. Presseberichten zufolge gibt bereits heute ein Drit- tel der Personalverantwortlichen an, bei ihrer Arbeit Daten aus sozialen Netzwerk- diensten zu nutzen, z. B. um die einzelnen Angaben von Bewerbern zu überprüfen und/oder zu ergänzen. Profi linformationen und Verkehrsdaten werden von Anbietern sozialer Netzwerk- dienste auch zu r Weiterleitung zielgerichteter Werbung an ihre Nutzer verwendet. Sehr wahrscheinlich werden in Zukunft noch weitere unerwartete Verwendungen von Informationen in Nutzerprofi len auftreten.
180 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Zu weiteren, bereits jetzt identifi zierten spezifi schen Risiken für Datenschutz und Da- tensicherheit zählen erhöhte Risiken durch Identitätsbetrug, der durch die umfang- reiche Verfügbarkeit personenbezogener Daten in Nutzerprofi len begünstigt wird, und durch eine mögliche Übernahme von Profi len durch unbefugte Dritte. Die 30. Interna- tionale Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre erin- nert daran, dass diese Risiken bereits in dem Dokument «Bericht und Empfehlung zum D atenschutz in sozialen Netzwerkdiensten» («Rom-Memorandum») 2 der 43. Tagung der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommuniktion (3. - 4. März 2008) und in dem ENISA Positionspapier Nr. 1 «Security Issues and Recommen- dations for Online Social Networks» 3 (Oktober 2007) analysiert wurden. Die in der Internationalen Konferenz versammelten Datenschutzbeauftragten sind von der Notwendigkeit überzeugt, dass als Erstes eine intensive Informationskampagne unter Beteiligung aller öffentlichen und privaten Interessengruppen – von Regierungs- stellen bis zu Bildungseinrichtungen wie Schulen, von Anbietern sozialer Netzwerk- dienste bis zu Verbraucher- und Nutzerverbänden, einschließlich der Datenschutzbe- auftragten selbst – durchgeführt werden muss, um den vielfältigen mit der Nutzung sozialer Netzwerkdienste verbundenen Gefahren vorzubeugen. Empfehlungen In Anbetracht der besonderen Natur der Dienste und der kurz- und langfristigen Ge- f ahren für die Privatsphäre des Einzelnen richtet die Konferenz folgende Empfeh- lungen an Nutzer und Anbieter sozialer Netzwerkdienste: Nutzer sozialer Netzwerkdienste Organisationen, denen am Wohl der Nutzer sozialer Netzwerke gelegen ist – ein- schließlich Diensteanbieter, Regierungen und Datenschutzbehörden – sollten mithel- fen, die Nutzer über den Schutz ihrer personenbezogenen Daten aufzuklären und die folgende Botschaften zu vermitteln.
181 16. Tätigkeitsbericht 2008/ 2009 des EDÖB mit Bildern konfrontiert werden könnten, z. B. wenn sie sich um eine Arbeitsstelle be- werben. Insbesondere sollten Minderjährige vermeiden, ihre Privatanschrift oder ihre Telefonnummer mitzuteilen. Privatpersonen sollten sich überlegen, ob es nicht ratsam wäre, in einem Profi l anstelle ihres wirklichen Namens ein Pseudonym zu verwenden. Dabei sollten sie jedoch nicht vergessen, dass auch die Benutzung von Pseudonymen nur einen begrenzten Schutz gewährt, da Dritte in der Lage sein können, ein solches Pseudonym aufzudecken. 2. Die Privatsphäre Anderer Nutzer sollten auch die Privatsphäre Anderer achten. Sie sollten besonders vorsichtig sein bei der Veröffentlichung personenbezogener Daten Anderer (einschließlich Bil- dern, oder sogar mit Zusatzinformationen versehenen Bildern) ohne die Einwilligung der betreffenden Personen. Anbieter sozialer Netzwerkdienste Anbieter sozialer Netzwerkdienste tragen eine besondere Verantwortung dafür, die Belange von Personen, die soziale Netzwerke nutzen, zu beachten und zu wahren. Sie sollten nicht nur die Regelungen des Datenschutzrechts einhalten, sondern auch die folgenden Empfehlungen umsetzen.
182 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3. Nutzerkontrolle Anbieter sollten die Kontrolle der Nutzer über die Verwendung ihrer Profi ldaten durch andere Community-Mitglieder weiter verbessern. Sie sollten die Einschränkung der Sichtbarkeit ganzer Profi le sowie von in Profi len enthaltenen Daten, und in Communi- ty-Suchfunktionen ermöglichen. Die Anbieter sollten auch eine Kontrolle der Nutzer über die Nutzung von Profi l- und Verkehrsdaten, z. B. für zielgerichtete Werbung, ermöglichen. Als ein Minimum sollten eine Opt-out-Möglichkeit für allgemeine Profi ldaten und eine Opt-in-Möglichkeit für sensible Profi ldaten (z.B. politische Überzeugungen, sexuelle Orientierung) und Ver- kehrsdaten geboten werden. 4. Datenschutzfreundliche Standardeinstellungen Darüber hinaus sollten Anbieter datenschutzfreundliche Standardeinstellungen für Nutzerprofi linformationen anbieten. Standardeinstellungen spielen eine Schlüsselrol- le beim Schutz des Privatsphäre der Nutzer: Es ist bekannt, dass lediglich eine Min- derheit von Nutzern, die sich bei einem Dienst anmelden, irgendwelche Änderungen daran vornimmt. Diese Einstellungen müssen bei einem sozialen Netzwerkdienst, der sich an Minder- jährige wendet, besonders restriktiv sein. 5. Sicherheit Anbieter sollten die Sicherheit ihrer Informationssysteme weiter verbessern und auf- rechterhalten und die Nutzer gegen betrügerische Zugriffe auf ihre Profi le schützen, indem sie für die Konzeption, die Entwicklung und den Betrieb ihrer Anwendungen anerkannte Methoden einschließlich unabhängigem Auditing und unabhängiger Zer- tifi zierung verwenden. 6. Auskunftsrechte Anbieter sollten Personen (gleichgültig ob Mitglieder des sozialen Netzwerkdienstes oder nicht) ein Recht auf Auskunft zu ihren personenbezogenen Daten gewähren und erforderlichenfalls diese Daten berichtigen. 7. Löschung von Nutzerprofi len Anbieter sollten den Nutzern die Möglichkeit geben, ihre Mitgliedschaft auf einfache Weise zu beenden und ihre Profi le sowie alle Inhalte oder Informationen, die sie in dem sozialen Netzwerk publiziert haben, zu löschen.
183 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 8. Pseudonyme Nutzung des Dienstes Anbieter sollten als Option die Möglichkeit der Einrichtung und Verwendung pseudo- nymer Profi le anbieten und zur Nutzung dieser Option ermutigen. 9. Zugriff durch Drittpersonen Anbieter sollten wirksame Maßnahmen ergreifen, um das Durchsuchen und/oder massenweise Herunterladen (oder „bulk harvesting“) von Profi ldaten durch Dritte zu verhindern. 10. Indexierbarkeit der Nutzerprofi le Di e Anbieter sollten sicherstellten, dass Nutzerdaten von externen Suchmaschinen nur durchsucht werden können, wenn der Nutzer dazu seine ausdrückliche, vorherige un d informierte Einwilligung erteilt hat. Die Nichtindexierbarkeit von Profi len durch Suchmaschinen sollte als Standard eingestellt sein.
184 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4.2 Öffentlichkeitsprinzip 4.2.1 Empfehlung an das Eidgenössische Departement für auswärtige Angelegenheiten: «Projektunterlagen DEZA» Bern, den 28. Juli 2008 Empfehlung gemäss Art. 14 des Bundesgesetzes über das Öffentlichkeitsprinzip der Verwaltung vom 17. Dezember 2004 zum Schlichtungsantrag von X (Antragsteller) gegen Eidg. Departement für auswärtige Angelegenheiten (EDA), Bern
185 16. Tätigkeitsbericht 2008/ 2009 des EDÖB I. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest: A. Schlichtungsantrag Nr. 1
186 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3. Am 13. April 2007 gelangte der Antragsteller erneut ans EDA und beharrte mit Verweis auf das Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (Öffentlichkeitsgesetz BGÖ, SR 152.3) «auf der vollumfänglichen Beantwortung meiner ursprünglichen Anfrage». 4. Mit Brief vom 18. April 2007 teilte das EDA dem Antragsteller mit: «In Ihrem Gesuch verlangen Sie Einsicht in ganze Dossier, Ihr Gesuch betrifft unzähli- ge Dokumente. Die von Ihnen gelieferten Angaben reichen nicht aus, um die verlangten Dokumente zu identifi zieren.» Das EDA forderte den Antragsteller mit Verweis auf die Art. 10 Abs. 3 BGÖ und Art. 7 der Verordnung vom 24. Mai 2006 über das Öffentlichkeitsprinzip der Verwaltung (Öffentlichkeitsverord- nung, VBGÖ, SR 152.31) und unter Ansetzung einer Frist auf, die Anfrage zu präzisieren. Weiter wies das EDA darauf hin, dass der Zugang zu Dokumenten gemäss Öffentlichkeitsgesetz grundsätzlich gebührenpfl ichtig ist. 5. Mit E-Mail vom 20. April 2007 zu Handen des EDA vertrat der Antragsteller die Ansicht, dass die von ihm gemachten Angaben zur Beantwortung seiner Anfrage vollends ausreichend seien. 6. Mit E-Mail vom 25. April 2007 verlangte der Antragsteller «als Nachtrag» zu seiner E-Mail vom 20. April 2007 ein Verzeichnis sämtlicher laufender Projekte von DEZA und SKH zukommen zu lassen. Weiter möchte er «Einblick in alle direktionsinternen sowie externen Projekt-Monitoring- und Projekt-Schluss- berichte von DEZA und SKH», «in sämtliche Reporte Y, über Projekte von DEZA und SKH in Sri Lanka, wie allen anderen Projektländern, ab Januar 2005 bis zum heutigen Datum.» Ferner ersuchte er das EDA, ihm «die aktuellsten, de- taillierten (jedes einzelne Projekt und Teil-Projekt beinhaltend) und vollstän- digen buchhalterischen Übersichten über die Budgets und Mittelfl uss zu all diesen Projekten und von DEZA und SKH insgesamt zukommen zu lassen, in- klusive aller Salärkosten also der detaillierten und vollständigen Zuteilung und Verwendung des Gesamtbudgets von DEZA und SKH – sowie die direktions- interne Begründung und Selbstevaluation dieser Zuteilung und Verwendung, sow ie der erzielten Resultate.» 7. Am 27. April 2007 teilte der Antragsteller dem EDA per E-Mail mit, dass ihn « unter den erwähnten Evaluationen (...) insbesondere auch jene der GPK- S» [Geschäftsprüfungskommission des Ständerates; der Beauftragte] interes- siere und dass er «sämtliche Dokumente wolle, die bei der DEZA und beim
187 16. Tätigkeitsbericht 2008/ 2009 des EDÖB EDA dazu vorliegend sind.» Weiter interessierten ihn «insbesondere die voll- ständigen Reise- und Spesenabrechnungen aller Mitarbeiter, von Januar 2005 bis dato, speziell der Direktoren» sowie weiterer Mitarbeiter des SKH. 8. Das EDA teilte dem Antragsteller mit E-Mail vom 2. Mai 2007 mit, dass er «Ein- blick in ganze Dossiers und nicht nur in einzelne Dokumente verlange» und er seine Anfrage «noch ausgeweitet (habe) indem Sie Einblick in zusätzliche Dokumente verlangten.» 9. In einer E-Mail vom 3. Mai 2007 erwähnte der Antragsteller, dass er an der «Anfrage nach Einsicht in die Ausschreibungen und Bewerbungen des SKH, und um[sic!] die Adressen der Korps-Angehörigen» festhalte. 10. Auf eine weitere E-Mail des Antragstellers vom 8. Mai 2007 schlug ihm das EDA zur Klärung der Fragen eine Besprechung vor. Mit E-Mail vom 10. Mai 2007 nahm der Antragsteller die Einladung an und legte dem EDA gleichzeitig eine Aufl istung vor, in der die gewünschten Dokumente und Dossiers in 4 Dringlich- keitsstufen eingeteilt waren. (Die Besprechung zwischen dem Antragsteller und Vertretern des EDA fand am 29. Mai 2007 statt.) 11. Am gleichen Tag, also am 10. Mai 2007, reichte der Antragsteller beim Eidge- nössischen Datenschutz- und Öffentlichkeitsbeauftragten (Beauftragter) den Schlichtungsantrag Nr. 1 ein. B. Schlichtungsantrag Nr. 2 1. Am 26. Juni 2007 verlangte der Antragsteller per E-Mail, «mir von den ge- wünschten Schluss-Berichten vorab wenigstens den Einsatz-Schlussbericht von Z (2004-2007, Sri Lanka), sowie sämtliche nach Erlassdatum BGÖ verfass- ten Einsatz-Schlussberichte / End of Mission Report von Country Directors der DEZA in Indonesien zuzustellen.» (Die Berichte werden im Weiteren mit Schlussbericht Sri Lanka und Schlussbe- richt Indonesien bezeichnet.) 2. Das EDA teilte dem Gesuchsteller am 4. Juli 2007 mit, dass die Anfrage, welche sich auf End of Mission-reports bezieht, genügend präzisiert sei und als neues Zugangsgesuchs behandelt werde.
188 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 3. Das EDA teilte dem Antragsteller mit Schreiben vom 17. August 2007 mit, dass das Zugangsgesuch folgendermassen beurteilt wurde:
Den Schlussberichten beigefügt war jeweils eine Stellungnahme der DEZA. Darin weist die DEZA «Als Arbeitgeberin des Verfassers dieses Berichtes (...) auf Folgendes hin, dass bei einem eventuellen Gebrauch des Berichtes (X) durch Dritte berücksichtigt werden muss: ‚Schlussberichte sind (...) grund- sätzlich Ausdruck der subjektiven Meinung des Verfassers. Sie dienen der per- sönlichen Vorbereitung des aus dem Einsatz zurückkehrenden Korpsangehö- rigen für das Abschlussgespräch (‚debriefi ng’) an der SKH-Zentrale in Bern. (...) Demzufolge handelt es bei einem «Schlussbericht» um ein bewusst subjektiv gehaltenes, internes, Arbeitsdokument, welches als Vorbereitung für ein Mit- arbeitergespräch zwischen ArbeitnehmerIn und Arbeitgeberin dient. Im Ge- spräch selbst werden dann die im Bericht enthaltenen Aussagen besprochen, allfällige Meinungsverschiedenheiten geklärt, Massnahmen ins Auge gefasst sowie der Einsatz formell abgeschlossen. Ein ‚Schlussbericht’ einer dem SKH angehörenden Person über einen absol- vierten Einsatz widerspiegelt daher in keiner Weise die Sicht der DEZA, son- dern einzig die subjektive Meinung dieser Person. Die DEZA verzichtet auf eine Stellungnahme zum Bericht.»
189 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
Der Antragsteller reichte am 6. September 2007 beim Beauftragten einen Schlichtungsantrag ein. Das gleiche Schreiben ging mit dem Betreff «Aufsicht- seingabe» auch an die Geschäftsprüfungskommission (GPK) der Parlaments- dienste. Es enthielt folgenden «Antrag an EDÖB und GPK a) Der ganze Z-Bericht, inklusive Anhang und Beilagen, ist aufgrund öffent- lichen Interesses freizugeben. Die betroffenen Personen sind um ihre Zustimmung zur Namensnennung zu ersuchen. Mindestens die Namen u nd Funktionen öffentlicher Figuren (d. h. der obersten Führung von SKH/DEZA/EDA, wenn nicht aller leitenden Mitarbeiter) dürfen aufgrund des Persönlichkeitsschutzes jedoch NICHT unkenntlich gemacht wer- den, weil hier Fragen von öffentlichem Interesse und nicht irgendwelche Privat-Angelegenheiten betroffen sind.
190 16. Tätigkeitsbericht 2008/ 2009 des EDÖB b) Der vorliegende Indonesien-Bericht ist scheinbar nur ein Entwurf. Es ist die Endfassung auszuhändigen. c) Die Misswirtschaft, die systematische Unterschlagung von Information und die aktenkundig gewordenen Lügen von leitenden Mitarbeitern und Führungskräften von EDA DEZA SKH sind zu untersuchen und zu sank- tionieren. d) Über Art und aktuellen Status, Kosten und Kostensplit der Projekte der DEZA ist mittels einer Web-Projekt-Datenbank detailliert und überprüf- bar zu informieren, so dass sich die Öffentlichkeit, die Begünstigten - und vor allem auch die Verantwortlichen innerhalb von EDA DEZA SKH selbst - jederzeit ein genaues Bild über die «vielfältigen A ktivitäten» der DEZA machen können: Projekt-Monitoring wie es selbstverständlich sein muss. (Vgl. hierzu meine entsprechende Eingabe an SKH/DEZA.) e) Falls a) (vorläufi g) nicht stattgegeben werden sollte, ist eine akzeptable, die Integrität des Originals respektierende «Bearbeitung» auszuhändi- gen, «eingeschwärzt», nicht «eingeweisst», inklusive des gesamten An- hangs, sowie (mindestens) der erwähnten Bestandteile der Beilagen. f) Die mir seitens EDA DEZA SKH am 29. Mai im Bundeshaus verspro- chenen Projekt-Übersichten und Evaluationen der DEZA sind baldmög- lichst auszuhändigen. g) Dem EDÖB sind bei offenkundigem Bedarf sofort wenigstens die in der Vernehmlassung zum BGÖ vorgesehenen personellen Ressourcen zu gewähren, prinzipiell aber genügend, dass Schlichtungsbegehren innert der gesetzlich vorgesehenen Frist bearbeitet werden können. h) Das Kompetenzzentrum Öffentlichkeitsprinzip des EDA ist so zu verstär- ken, dass Einsichtsgesuche innert vertretbarer Frist gradlinig, aufrichtig und kompetent bearbeitet werden können. i) Falls einzelnen Punkten nicht stattgegeben werden sollte, ist eine an- fechtbare Antwort mit Verfügung auszustellen.»
191 16. Tätigkeitsbericht 2008/ 2009 des EDÖB C. Schlichtungsanträge Nr. 3 - 6
Der Antragsteller reichte am 6. Juni 2008 beim Beauftragten einen Schlich- tungsantrag (Schlichtungsantrag Nr. 3) ein. 2. Am 6. November 2007 reichte er ein Gesuch um «Akteneinsicht in den Auftrag / Vertrag an / mit PwC, sowie den vollständigen Untersuchungsbericht und die Honorarbestimmungen / Abrechnungen» im Zusammenhang mit der «Evalua- tion der Tsunami-Hilfe von SKH DEZA EDA» ein.
Das EDA wies in der Beantwortung des Zugangsgesuchs am 6. Mai 2008 darauf hin, dass nicht die Firma PricewaterhouseCoopers, sondern die Firma KPMG einen entsprechenden Auftrag erhalten habe. Es lehnte den Zugang gestützt auf Art. 7 Abs. 1 Bst. g BGÖ (Berufs-, Geschäfts- oder Fabrikationsgeheimnisse) sowie aufgrund der Tatsache ab, dass der Endbericht noch nicht fertig gestellt sei.
Der Antragsteller reichte am 6. Juni 2008 beim Beauftragten einen Schlich- tungsantrag (Schlichtungsantrag Nr. 4) ein. 3. Am 27. März 2008 reichte der Antragsteller ein Gesuch um Zugang zu fol- genden Dokumenten ein:
192 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
Der Antragsteller reichte am 6. Juni 2008 beim Beauftragten einen Schlich- tungsantrag (Schlichtungsantrag Nr. 5) ein. 4. Am 10. Juni 2008 reichte der Antragsteller folgenden Schlichtungsantrag (Schlichtungsantrag Nr. 6) ein: «BGÖ-Schlichtungsgesuch an den EDÖB, in Sachen Desinformation, Intrans- parenz, Misswirtschaft und Repression sachlicher, interner Kritik der DEZA, betreffend Einsichtsgesuche in: a) Antworten EDA/DEZA/SKH auf Schlussreport Z (s. nachfolgende E-Mails, als Anhang 1 und 2) b) Transportbelege persönliche Effekten Z (s. nachfolgendes E-Mail, als An- hang 1) c) Videoaufnahme Fachgruppentagung SKH, Jahrestagung HH 2007 (s. nach- folgendes E-Mail, als Anhang 2) d) Bewerbungen und Arbeitsverträge SKH (s. nachfolgendes E-Mail, als An- hang 3) e) Reisebelege Führungsverantwortliche EDA/DEZA/SKH (s. nachfolgendes E-Mail, als Anhang 3) sowie f) Ersuchen um Kostenübernahme/-Erlass, bzw. Klärung Datenschutz- massnahmen Sponsoring»
193 16. Tätigkeitsbericht 2008/ 2009 des EDÖB D. Schlichtungsverfahren
194 16. Tätigkeitsbericht 2008/ 2009 des EDÖB II. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte zieht in Erwägung: A. Schlichtungsverfahren und Empfehlung gemäss Art. 14 BGÖ
195 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4. Die Schlichtungsanträge Nr. 3 4 , 4 und 5 wurden nicht innert 20 Tagen nach Empfang der einzelnen Stellungnahmen des EDA (alle datieren vom 6. Mai 2008) beim Beauftragten eingereicht. Der Antragsteller anerkannte dies und führte in seinen Schlichtungsanträgen dazu aus, dass das EDA die Frist zur Be- antwortung seiner Zugangsgesuche deutlich überschritten habe, weshalb er das gleiche Recht für die Einreichung der Schlichtungsanträge beanspruche. Die Fristen für die Beantwortung eines Zugangsgesuchs sind in Art. 12 BGÖ festgehalten. Es handelt sich dabei um eine Ordnungsfrist. 5 Wird diese von der Behörde nicht eingehalten, so liegt eine unzulässige Rechtsverzögerung vor, weshalb ein Betroffener gestützt auf Art. 13 Abs. 1 Bst. b BGÖ i.V.m. Art. 13 Abs. 2 BGÖ nach Ablauf der der Behörde zur Stellungnahme verfügbaren Zeit einen Schlichtungsantrag einreichen kann. 6
Im Gegensatz zur eben erwähnten Ordnungsfrist der Behörde handelt es sich bei der Frist zur Einreichung eines Schlichtungsantrags (Art. 13 Abs. 2 BGÖ) um eine Verwirkungsfrist. 7 Diese Frist kann nicht verlängert werden, und der Antragsteller muss bei der Behörde allenfalls ein neues Gesuch stellen. Will der Antragsteller seine Rechte nicht verwirken, so muss er bei Nichterhalt einer Stellungnahme innert 20 Tagen ab Einreichen seiner Zugangsgesuche von Gesetzes wegen beim Beauftragten wiederum innert 20 Tagen einen Schlichtungsantrag einreichen. Dies hat er jedoch in den Fällen der späteren Schlichtungsanträge Nr. 3, 4 und 5 nicht getan, sondern erst, nachdem das EDA (verspätet) am 6. Mai 2008 Stellung genommen hatte. Nun hätte er erneut die Möglichkeit gehabt, innert 20 Tagen einen Schlichtungsantrag einzurei- chen. Das EDA hat ihn in seinen Stellungnahmen auf diese Frist hingewiesen. Anlässlich eines Telefongesprächs vom 23. Mai 2008 hat auch der Beauftragte den Antragsteller darauf aufmerksam gemacht. Trotzdem hat er seine Schlich- tungsanträge Nr. 3, 4 und 5 nicht bis 26. Mai 2008, sondern erst am 6. Juni 2008 beim Beauftragten eingereicht. Folglich kann festgehalten werden, dass die Schlichtungsanträge Nr. 3, 4 und 5 nicht innert der in Art. 13 Abs. 2 BGÖ vorgeschriebenen Frist von 20 Tagen ab Empfang der Stellungnahme der Behörde beim Beauftragten eingereicht wurden. Der Beauftragte tritt nicht auf diese Schlichtungsanträge ein. 4 Schlichtungsverfahren nur in Bezug auf die Höhe der verlangten Gebühren 5 Brunner / Mader (Hrsg.), Stämpfl is Handkommentar zum BGÖ, Art. 12, Rz. 15 6 Handkommentar zum BGÖ, Art. 12, Rz. 15 7 Handkommentar zum BGÖ, Art. 13, Rz. 34; BGE 124 II 265, 267
196 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Dem Antragsteller bleibt es unbenommen, bei der zuständigen Behörde jeder- zeit wieder Zugangsgesuche in den gleichen Angelegenheiten einzureichen. 5. Soweit die im Schlichtungsantrag Nr. 6 geltend gemachten Begehren nicht bereits durch die Schlichtungsverfahren Nr. 2 – 5 abgedeckt sind, gilt es fest- zuhalten, dass dem Antrag kein eigentliches Zugangsverfahren beim EDA vorausgegangen ist. Somit ist der Antragsteller, da kein Teilnehmer an einem vorangegangenen Gesuchsverfahren, nicht zur Einreichung eines Schlich- tungsantrags berechtigt. Der Beauftragte tritt auf den Schlichtungsantrag Nr. 6 nicht ein. Dem Antragsteller bleibt es unbenommen, bei der zuständigen Behörde ent- sprechende Zugangsgesuche einzureichen. B. Sachlicher Geltungsbereich
Der Antragsteller und das EDA hatten auch nach der Einreichung dieses Schlichtungsantrags diverse weitere Kontakte (Treffen zwischen dem Antrag- steller und dem EDA Ende Mai 2007, Telefongespräche, Mailverkehr, Einrei- chung weiterer Zugangsgesuche durch den Antragsteller etc.), die hier in- sofern berücksichtigt werden, als dass sie für den Schlichtungsantrag Nr. 2 relevant sind. 1.2. D er Antragsteller verlangte ursprünglich «Auskunft über ALLE laufenden Pro- jekte von SKH [Schweizerischen Korps für humanitäre Hilfe; der Beauftragte] / DEZA, inklusive aller relevanten Projektdaten» (E-Mail vom 20. März 2007). Im weiteren Mailverkehr mit dem EDA hielt er stets an dieser Forderung fest, wei- tete sie zum Teil aus oder grenzte sie mit präzisierenden Angaben wieder ein. Im Folgenden gilt es daher abzuklären, ob die vom Antragsteller in diversen E-Mails gemachten Angaben zum Zeitpunkt der Einreichung des Schlichtungs- antrags als inhaltlich hinreichend formuliertes Zugangsgesuch beurteilt wer- den können.
197 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 1.3. Vorweg kann festgehalten werden, dass jederzeit ein Schlichtungsantrag ein- gereicht werden kann, wenn ein Gesuchsteller die Ansicht vertritt ist, dass die von einer Behörde verlangte Präzisierung nicht notwendig ist. 8 Er muss also nicht zwingend eine von der Behörde als defi nitiv bezeichnete Stellungnahme nach Art. 12 BGÖ abwarten. 1.4. Das Öffentlichkeitsgesetz sieht vor, dass das Zugangsgesuch hinreichend ge- nau formuliert sein muss (Art. 10 Abs. 3 BGÖ). Was unter «hinreichend formu- liert» zu verstehen ist, wird in Art. 7 VBGÖ genauer ausgeführt. Die Behörde muss aufgrund der vom Gesuchsteller im Zugangsgesuch erwähnten Angaben i n der Lage sein, das verlangte amtliche Dokument zu identifi zieren (Art. 7 Abs. 2 VBGÖ). Gelingt ihr dies nicht, so kann sie den Gesuchsteller zu einer Präzisierung seines Gesuchs auffordern (Art. 7 Abs. 3 VBGÖ). Gleichzeitig ist die Behörde verpfl ichtet, dem Gesuchsteller bei der genaueren Formulierung seines Gesuches behilfl ich zu sein (Art. 3 VBGÖ). 1.5. S elbst wenn das Öffentlichkeitsgesetz keine hohen Anforderungen an die Form und den Inhalt von Zugangsgesuchen stellt, so muss es doch für die Behörde überhaupt möglich sein, aufgrund des Gesuchs das gewünschte amt- liche Dokumente spezifi zieren zu können. Das Öffentlichkeitsgesetz will Zugang zu einem oder mehreren bestimmten, also genau spezifi zierbaren amtlichen Dokumenten gewähren. Es verschafft jedoch keinen Anspruch auf eine nicht näher eingrenzbare Menge von Verwal- t ungsinformationen. Zum inhaltlichen kommt ein rein praktisches Kriterium hinzu: Die Behörde muss in der Lage sein, die Zugangsgewährung zu einer derart riesigen Menge an amtlichen Dokumenten mit den ihr zur Verfügung stehenden Ressourcen überhaupt bewerkstelligen zu können. Noch nicht beantwortet ist sodann die Frage, ob die Gebühren für ein so umfassendes Zugangsgesuch überhaupt bezahlbar sind. 1.6. Ein Gesuch, das Zugang zu allen laufenden und/oder abgeschlossenen Pro- jekten der DEZA beansprucht, zielt auf eine quantitativ nicht erfassbare Anzahl von Dokumenten ab und ist daher nicht hinreichend formuliert. Dass selbst der vom Antragsteller geforderte Zugang zum Programm «Tsunami-Wieder- aufbau in Südasien (Indonesien, Thailand, Sri Lanka)» inhaltlich unzureichend 8 Handkommentar zum BGÖ, Art. 10 RZ 40
198 16. Tätigkeitsbericht 2008/ 2009 des EDÖB spezifi ziert ist, zeigte sich für den Beauftragten an der ersten Schlichtungs- verhandlung, an der das EDA nachvollziehbar darzulegen vermochte, dass die Gesamtdokumentation zum Tsunami-Wiederaufbau in den betroffenen Ländern eine Vielzahl an Projekten und Unterprojekten beinhaltet. Der Antragsteller hat mit seinen stetig neuen Forderungen nicht zu einer Klä- rung der Situation beigetragen. Dass er mit fast jeder E-Mail sein Zugangsge- such inhaltlich abänderte, dieses als ganzes jedoch gleich umfangreich und wenig konkret beliess, führte nach Ansicht des Beauftragten nicht dazu, dass die vom Öffentlichkeitsgesetz verlangte konkrete inhaltliche Bestimmtheit des Zugangsgesuchs erreicht wurde.
Zudem kann dem EDA zum Zeitpunkt der Einreichung des Schlichtungsan- trags Nr. 1 nach Ansicht des Beauftragten auch nicht vorgeworfen werden, es sei dem Antragsteller bei der Präzisierung seines Gesuchs nicht behilfl ich gewesen. So erachtet der Beauftragte die vom EDA angebotene Unterredung vom 29. Mai 2007 als eine angemessene Unterstützungsmassnahme im Sinne von Art. 3 VBGÖ. Im Anschluss an diese Besprechung reichte der Antragsteller dann auch weitere Zugangsgesuche ein, die inhaltlich hinreichend präzisiert waren. Der Beauftragte gelangt daher zum Schluss, dass das EDA vom Antragsteller zu Recht eine Präzisierung seines Zugangsgesuchs verlangt hat. 2. Schlichtungsantrag Nr. 2 2.1. Vorweg gilt es festzuhalten, dass ein Schlichtungsbegehren nicht begründet werden muss. Ebenso wenig müssen dem Beauftragten konkrete Anträge un- terbreitet werden, die dieser prüfen soll. Der Beauftragte beurteilt auch ohne entsprechende Begehren umfassend, ob die Behörde bei ihrer Beurteilung des Zugangsgesuches die Vorgaben des Öffentlichkeitsgesetzes korrekt be- rücksichtigt hat. Der Beauftragte kann im Rahmen eines Schlichtungsverfahrens nur über jene Bereiche befi nden, die in den Geltungsbereich des Öffentlichkeitsgesetzes fallen. Er hat dies dem Antragsteller in der Einzelunterredung sowie in den Schlichtungsverhandlungen eingehend dargelegt und begründet. Dabei hat er mehrmals den Unterschied zwischen aktiver und passiver Information 9 erläu- tert und erklärt, dass das Öffentlichkeitsgesetz grundsätzlich nur die passive 9 Handkommentar zum BGÖ, Einleitung RZ 78
199 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Information regelt und dem Bürger, der Bürgerin keinen spezifi schen Anspruch auf eine aktive Information oder eine bestimmte Informationspolitik von Sei- ten der Bundesbehörden verschafft. Der Beauftragte äussert sich daher nicht mehr zu folgenden «Anträgen» des Antragstellers (s. o. Ziffer I.B.4.):
200 16. Tätigkeitsbericht 2008/ 2009 des EDÖB steller verfolgte nach eigenen Worten das Ziel, mittels des Öffentlichkeitsge- setzes in Erfahrung zu bringen, welche Teile des Schlussberichts Sri Lanka er veröffentlichen könne, um damit auf mutmassliche Missstände im EDA (resp. der DEZA und des SKH) hinzuweisen. Im Verlaufe der zweiten Schlichtungsverhandlung zeigte sich einerseits immer deutlicher, dass der Antragsteller anerkannte, dass das Öffentlichkeitsgesetz nicht das richtige Mittel zur Erreichung des von ihm verfolgten Zieles ist. An- derseits hielt er inhaltlich stets an allen Schlichtungsanträgen fest. Da keine Schlichtung zwischen den beiden Parteien erreicht werden konnte, muss der Beauftragte gemäss Art. 14 BGÖ eine Einschätzung zum Sachverhalt abgeben und eine Empfehlung erlassen, damit sowohl der Antragsteller wie auch die Behörde die Gelegenheit erhalten, die strittige Angelegenheit von einem Richter beurteilen zu lassen. 2.3. In Bezug auf das vom Antragsteller hauptsächlich verfolgte Ziel (nach seinen Aussagen das Aufdecken von Missständen in der DEZA) weist der Beauftragte darauf hin, dass er in seiner Funktion als Schlichtungsstelle materiell nicht darüber zu entscheiden hat, ob - und falls ja, in welchem Umfang - es zu Missständen gekommen ist. Er kann in diesem Zusammenhang den Antrag- steller lediglich darauf hinweisen, dass die Geschäftsprüfungskommission des Parlaments die Oberaufsicht über die Geschäftsführung des Bundesrates und der Bundesverwaltung ausübt, und sie im Rahmen ihrer Tätigkeit das Verwal- tungshandeln auch auf Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit überprüfen muss (Art. 52 des Bundesgesetzes über die Bundesversammlung, SR 171.10). 2.4. Schlussbericht Sri Lanka (inklusive Beilagen und Korrespondenz von Z mit dem EDA) 2.4.1. D as EDA hat dem Antragsteller den Schlussbericht Sri Lanka zugestellt, wobei Textpassagen mit Verweis auf die Ausnahmebestimmungen von Art. 7 Abs. 1 Bst. b und d, Abs. 2 BGÖ und Art. 9 BGÖ abgedeckt respektive anonymisiert worden sind. Diese Passagen wurden vom EDA «eingeweisst». Es stellte dem Antragsteller ein Exemplar zu, das ein anderes Format aufwies als jenes, das er direkt vom Ersteller erhalten hatte.
201 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 2.4.2. Der Antragsteller hält fest, dass «eine akzeptable, die Integrität des Originals respektierende «Bearbeitung» auszuhändigen» sei. Er ist daher der Ansicht, dass (1.) das Dokument geschwärzt (und nicht geweisst) und (2.) das Format beibehalten werden muss.
Zu Recht wirft der Antragsteller in Zusammenhang mit dem Schlussbericht Sri Lanka Fragen (Einweissen von Textstellen anstelle von Einschwärzen, Beibe- haltung des Originalformats, Anonymisierung der Namen von Chefbeamten) auf, die einer materiellen Klärung bedürfen. 2.4.3. Vorweg gilt es festzuhalten, dass das BGÖ keine klaren Vorgaben für die Ano- nymisierung oder die Abdeckung respektive für das Einschwärzen/Einweissen von Textpassagen enthält. Es entspricht jedoch dem Sinn und Zweck des Öf- fentlichkeitsgesetzes, wenn für den Gesuchsteller ersichtlich ist, welche Text- passagen in einem Dokument von der Behörde anonymisiert respektive abge- deckt worden sind. Eine Anonymisierung (bei Personendaten) oder Abdeckung von bestimmten Textpassagen (bei Fällen von Art. 7 BGÖ) muss daher in einer Art und Weise erfolgen, dass für den Gesuchsteller ersichtlich ist, welche Teile des Dokumentes so bearbeitet wurden. Dies kann einerseits durch Schwärzen oder durch eine andere Kennzeichnung erfolgen (bspw. durch Auslassungszei- chen [...]).
Ein Einweissen eines Textes hat zur Folge, dass nicht in jedem Fall nachvoll- zogen werden kann, welche Teile und in welchem Umfang Textpassagen ab- gedeckt worden sind. Der Beauftragte ist daher der Ansicht, dass aus diesem Grund auf das Einweissen von Texten grundsätzlich zu verzichten ist. Anders verhält es sich, wenn die Behörde die eingeweissten Stellen zusätzlich kenn- zeichnet. 2.4.4. Das Öffentlichkeitsgesetz spricht sich auch nicht explizit darüber aus, ob bei der Anonymisierung oder beim Abdecken von Texten das Format des Original- dokuments beibehalten werden muss. Hinsichtlich des Zugangs zum Originaldokument – und damit auch zum Origi- nalformat – sieht das Öffentlichkeitsgesetz vor, dass ein Gesuchsteller grund- sätzlich wählen kann, wie er Einblick in die Dokumente erhalten möchte: Er kann sie entweder vor Ort einsehen oder Kopien davon anfordern (Art. 6 Abs. 2 BGÖ). Bei Einsichtnahme vor Ort besteht grundsätzlich ein Anspruch auf Zu-
202 16. Tätigkeitsbericht 2008/ 2009 des EDÖB gang zum Originaldokument. 10 Dieser ist allerdings nicht absolut, denn in be- stimmten Fällen kann sich die Behörde gemäss Art. 4 Abs. 2 VBGÖ auch darauf beschränken, der Gesuchstellerin oder dem Gesuchsteller lediglich Einsicht in eine Kopie des amtlichen Dokuments zu gewähren, beispielsweise wenn der Zustand des Originals dies erfordert. 11 Gleich muss es sich verhalten, wenn Teile des Dokuments abgedeckt oder anonymisiert werden müssen. Es ver- steht sich von selbst, dass das Original durch die Anonymisierung respektive Abdeckung nicht beeinträchtigt werden darf. Eine Schwärzung von Textpassa- gen kann also in der Regel nicht direkt auf dem Original, sondern nur auf einer Kopie angebracht werden kann. Im Weiteren gilt es zu beachten, dass das Öffentlichkeitsgesetz lediglich einen Anspruch auf Integrität des Inhalts, nicht aber einen Anspruch auf das Origi- nalformat verschafft. Dies zeigt sich unter anderem auch daran, dass der Ge- setzgeber technische Mittel zur Bearbeitung von Dokumenten (z.B. Abrufver- fahren usw.) zulässt. Wenn ein Dokument für die Herausgabe an den Gesuch- steller noch bearbeitet werden muss (z.B. durch Löschen einer oder mehrerer Textpassagen), so führt dies bei elektronischen Dokumenten unweigerlich zu einer Änderung des Formats. Es ist nicht ersichtlich, weshalb eine Bundes- b ehörde, die eine elektronische Version des Originaldokuments auf Papier besitzt und diese vor der Gewährung des Zugangs anonymisieren respektive abdecken muss, die entsprechenden Bearbeitungsschritte nicht elektronisch vornehmen darf. Diese Form des Anonymisierens respektive des Abdeckens (Löschens) ist einfacher und benötigt in der Regel viel weniger Zeit. Als Fazit kann Folgendes festgehalten werden:
203 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 2.4.5. Die Namen und die Funktionen von Verwaltungsangestellten (insbesondere von Entscheidungsträgerinnen und Entscheidungsträgern), die in amtlichen Dokumenten erwähnt werden, unterliegen, soweit diese Personen in Erfül- lung einer öffentlichen Aufgabe gehandelt haben, nicht der Anonymisierungs- pfl icht. 12
2.4.6. Das EDA stellte dem Antragsteller einen anonymisierten respektive abgedeck- ten Schlussbericht Sri Lanka zu. Den Zugang zur CD mit den Beilagen des Be- richts sowie zur Korrespondenz des EDA mit dem Ersteller verweigerte es aus verschiedenen Gründen.
Die konsequente und korrekte Anwendung des Öffentlichkeitsprinzips führt immer zu einer Mehrarbeit für die zuständige Verwaltungseinheit. Einige Zu- gangsgesuche verursachen mehr, andere weniger Aufwand. Der Gesetzgeber hat durch den Erlass des Öffentlichkeitsgesetzes klar gemacht, dass er eine transparente Bundesverwaltung wünscht, auch wenn damit für sie eine Mehr- belastung einhergeht. Der alleinige Umstand, dass der Zugang zu einem Do- kument nur mit einem grossen Zeitaufwand gewährt werden kann, ist nach Ansicht des Beauftragten keine Rechtfertigung, das im Öffentlichkeitsgesetz vorgesehene Verfahren nicht ordnungsgemäss durchzuführen. 13
Die Beantwortung dieses Zugangsgesuchs und das anschliessende Schlich- tungsverfahren haben bei den betroffenen Stellen nicht nur zu einem hohen, sondern zu einem überdurchschnittlich hohen Arbeitsaufwand geführt. Nach Eins chätzung des Beauftragten hat der Arbeitsaufwand für die Behandlung dieses Zugangsgesuchs und des Schlichtungsantrags ein vertretbares Mass überschritten. Zusätzlich zum Zeitfaktor muss der Beauftragte für eine um- fassende Einschätzung auch weitere Kriterien berücksichtigen. Dies ist zum einen der Umstand, dass sich das EDA bemühte, auf die Zugangsgesuche und Anliegen des Antragstellers entsprechend den Vorgaben des Öffentlichkeits- gesetzes einzugehen, und sich an den Schlichtungsverhandlungen gesprächs- und kooperationsbereit gezeigt hat.
Zum anderen kann der Beauftragte bei seiner Einschätzung die bedeutende Tatsache nicht unbeachtet lassen, dass der Antragsteller bereits im Besitz aller Dokumente ist, zu denen er Zugang beantragt. Gemäss seinen eigenen Aussa- gen bezweckte er vom EDA den Erhalt einer Kopie, um sie mit dem Exemplar, 12 Handkommentar zum BGÖ, Art. 9 RZ 14 13 ebenso Handkommentar zum BGÖ, Art. 7 RZ 3
204 16. Tätigkeitsbericht 2008/ 2009 des EDÖB das er direkt vom Ersteller erhalten hat, zu vergleichen. Auf diese Weise wollte er in Erfahrung bringen, welche Teile des Berichts er Dritten weitergeben kann. Angesichts des grossen Umfangs der gewünschten Dokumentation sowie der Tatsache, dass aller Wahrscheinlichkeit nach ein eingeschränkter Zugang ein aufwändiges, konsequentes Einschwärzen beziehungsweise Anonymisieren erfordert, ist nach Ansicht des Beauftragten die vom Öffentlichkeitsgesetz geforderte Transparenz dadurch erreicht, dass der Antragsteller den Bericht bereits vom Ersteller erhalten hat. Auch wenn der Beauftragte die Anliegen des Antragstellers in Teilen nachvoll- ziehen kann, ist er der Ansicht, dass es aufgrund der Tatsache, dass der An- tragsteller bereits im Besitz aller Dokumente ist, unverhältnismässig wäre und dem Grundsatz von Treu und Glauben widerspräche, vom EDA angesichts des Verlaufs der Angelegenheit zu fordern, die entsprechenden, umfangreichen Anonymisierungs- und Abdeckungsarbeiten vorzunehmen und die Dokumen- te herauszugeben. Unter diesen Umständen sieht auch der Beauftragte davon ab, den Schlussbericht Sri Lanka, die CD mit den Beilagen sowie die Korrespon- denz zwischen dem Ersteller und dem EDA darauf hin zu überprüfen, ob die Bedingungen für Einschränkungen nach Art. 7 und 9 BGÖ erfüllt sind und in welchem Mass der Zugang zu gewährleisten ist. 2.5. Schlussbericht Indonesien 2.5.1. Das EDA händigte dem Antragsteller in Beantwortung seines Zugangsgesuchs einen eingeschwärzten Schlussbericht Indonesien aus. Auf jeder Seite war im Hintergrund der Vermerk «Entwurf» angebracht. 2.5.2. Der Antragsteller macht daher geltend, dass ihm eine Kopie der Endfassung und nicht ein Entwurf des Schlussberichts auszuhändigen sei. Das EDA erklärte dazu in den Schlichtungsverhandlungen, dass der Verm erk «Entwurf» von jener Dienststelle angebracht worden war, die den Schlussbe- richt geschwärzt hatte, bevor sie ihn an die für die Zugangsgewährung zu- ständige Stelle weitergeleitet hatte. Der Vermerk bezog sich somit nicht auf den Inhalt des Dokuments, sondern auf die Einschwärzung. Aus Versehen sei daher dem Antragsteller ein Exemplar mit dem Vermerk «Entwurf» herausge- geben worden.
205 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Der Antragsteller führte in der zweiten Schlichtungsverhandlung dazu aus, dass diese Erläuterungen des EDA zwar plausibel seien, «aufgrund dokumen- tierter Lügen des EDA, DEZA, SKH bleibt aber die Frage offen, ob das zugäng- lich gemachte Dokument (1.) das einzige und (2.) die Endfassung ist.»
An der zweiten Schlichtungsverhandlung überreichte das EDA dem Beauf- tragten eine Kopie jener E-Mail, mit welcher der Ersteller des Schlussberichts Indonesien dem EDA seinen defi nitiven Bericht zugestellt hat. Der Beauftragte konnte sich davon überzeugen, dass der dieser E-Mail angefügte Schlussbe- richt inhaltlich jener Kopie mit dem Vermerk «Entwurf» entspricht, die das EDA dem Antragsteller zugestellt hat. 2.5.3. Das EDA schwärzte Passagen des Schlussberichts Indonesien mit Verw eis auf die Bestimmungen von Art. 7 Abs. 1 Bst. b (Beeinträchtigung der zielkon- formen Durchführung konkreter behördlicher Massnahmen), Bst. d (Beein- trächtigung der aussenpolitischen Interessen und der internationalen Bezie- hungen) sowie von Art. 7 Abs. 2 i.V.m. Art. 9 BGÖ («aus Gründen des Persön- lichkeitsschutzes») ein. 2.5.4. Bei der Beurteilung, ob eine Ausnahme von Art. 7 Abs. 1 BGÖ vorliegt, ist keine Abwägung zwischen den Interessen der Verwaltung an einer Geheimhaltung und dem Interesse des Gesuchstellers am Zugang vorzunehmen, sondern es muss geprüft werden, ob die Offenlegung des Dokuments erstens zu einer erheblichen und reellen Beeinträchtigung der in Art. 7 Abs. 1 BGÖ erwähnten Geheimhaltungsinteressen führt und ob zweitens ein ernsthaftes Risiko für den Eintritt dieser Beeinträchtigung besteht. 14 Wie der Beauftragte bereits in einer früheren Empfehlung 15 ausgeführt hat, darf die Behörde den Zugang nur verweigern oder einschränken, wenn diese Beeinträchtigung mit hoher Wahrscheinlichkeit auch eintreten wird. Mit anderen Worten ist ein Abdecken von Textpassagen nicht zulässig, wenn eine Beeinträchtigung der Geheimhal- tungsinteressen von Art. 7 Abs. 1 BGÖ lediglich denkbar oder im Bereich des Möglichen ist. In Bezug auf den Schlussbericht Indonesien nimmt der Beauftragte eine an- dere Einschätzung des Schadensrisikos vor als das EDA. Bei den meisten ab- gedeckten Stellen gelangt er zum Schluss, dass deren Offenlegung nicht zu einer erheblichen und tatsächlichen Beeinträchtigung der vom EDA geltend 14 Handkommentar zum BGÖ, Art. 7 RZ. 4ff. 15 Empfehlung vom 27. November 2006, Ziffer II.B.5
206 16. Tätigkeitsbericht 2008/ 2009 des EDÖB gemachten Geheimhaltungsinteressen führt. Dabei schätzt er das Schadensri- siko auch deshalb nicht als ernsthaft ein, weil die Schlussberichte zusammen mit einer Erklärung abgegeben werden, in der ausdrücklich darauf hingewie- sen wird, dass die Schlussberichte «in keiner Weise die Sicht der DEZA, son- dern einzig die subjektive Meinung dieser Person» widerspiegeln. Der Beauftragte ist nicht berechtigt, in einem Schlichtungsverfahren oder in einer Empfehlung vertrauliche oder geheime Informationen und Details aus dem fraglichen Dokument bekannt zu geben. Grundsätzlich lässt sich sagen, dass kein ernsthaftes Schadensrisiko gegeben ist, wenn bereits allgemein bekannte Informationen und Ansichten über die Bevölkerung eines Landes ebenso wie allgemein zugängliche kulturelle und religiöse Hintergründe zu- gänglich gemacht werden.
Ausserdem gilt es stets zu beachten, dass durch die Einführung des Öffent- lichkeitsprinzips beabsichtigt wurde, die demokratischen Kontrollrechte ge- genüber der Verwaltung zu stärken. In diesem Sinne erachtet es der Beauf- tragte daher als richtig und wichtig, dass ein Bürger, eine Bürgerin u.a. einen uneingeschränkten Zugang zu Informationen erhält, die die Auswirkungen von Besuchen aus der Schweiz (z.B. von Parlamentarier, Mitglieder der Bun- desverwaltung, Journalisten usw.) auf die Arbeit des SKH vor Ort aufzeigen.
Weiter kann bei dieser Gelegenheit grundsätzlich festgehalten werden, dass das Öffentlichkeitsgesetz den Bundesbehörden keine Handhabe dazu bietet, für sie nicht genehme oder wenig vorteilhafte Informationen zurückzuhalten. Insofern dürfen kritische Bemerkungen und Verbesserungsvorschläge zur Ver- waltungstätigkeit nicht zurückgehalten werden. 2.5.5. Das Öffentlichkeitsgesetz sieht zum Schutz von Personendaten vor, dass diese vor der Zugangsgewährung «nach Möglichkeit» zu anonymisieren sind (Art. 9 Abs. 1 BGÖ).
Nicht in allen Fällen muss jedes Personendatum abgedeckt werden. So ist beispielsweise nicht ersichtlich, weshalb die Namen jener Hilfsorganisationen, die sich am Tsunami-Wiederaufbau in den einzelnen Regionen oder Ländern beteiligen, abgedeckt werden müssen, zumal deren Einsatz ja bereits öffent- lich bekannt ist. Weiter sind, wie oben ausgeführt, die Namen von Entschei- dungsträgern der Bundesbehörden nicht zu anonymisieren.
207 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Anders ist die Sachlage zu beurteilen, wenn der Ersteller eines Schlussberichts Wertungen und Einschätzungen über die Arbeitsweise und die Persönlich- keit von anderen Mitarbeitenden oder über die Zusammenarbeit mit auslän- dischen Behörden und anderen, nationalen wie internationalen Hilfsorganisa- tionen abgibt. In diesen Fällen sind die Personendaten (also Namen, Firmen und Bezeichnungen) aus Gründen des Schutzes der Privatsphäre grundsätz- lich zu anonymisieren. D as Anonymisieren muss sich aber so weit als möglich auf Personendaten beschränken. Demnach dürfen bei Schilderungen (bspw. ‚Hauptprobleme und Fragen’ im Schlussbericht) über heikle oder problema- tische Aspekte der Zusammenarbeit mit den Behörden vor Ort, mit den von der DEZA beauftragten Unternehmen oder mit anderen Hilfsorganisationen nur die Namen, Firmen und die Bezeichnungen anonymisiert, nicht aber der gesamte Abschnitt abgedeckt werden. Weiter gehendes Einschwärzen ist nur zulässig, wenn der Schutz der Privatsphäre eines Dritten dies u nbedingt ver- langt oder wenn Geheimhaltungsinteressen nach Art. 7 Abs. 1 BGÖ dies erfor- dern. 2.5.6. Aufgrund dieser Ausführungen empfi ehlt der Beauftragte dem EDA, den Schlussbericht Indonesien entsprechend dem Vorschlag im Anhang zu an- onymisieren und abzudecken (s. Anhang). 3. Auskunftsrecht nach Art. 8 DSG Mit Bezugnahme auf die Vollmacht, die der Antragsteller vom Ersteller des Schlussbe- richts Sri Lanka erhalten hat, ist darauf hinzuweisen, dass der Ersteller jederzeit sein Auskunftsrecht nach Art. 8 des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) geltend machen kann. In diesem Fall muss die betroffene Behörde ihm alle über ihn bearbeiteten Personendaten unter Vorbehalt der Ausnahmen von Art. 9 DSG heraus- geben. Jede Einschränkung des Auskunftsrechts muss in Form einer Verfügung be- gründet werden. Gegen diese Verfügung kann die betroffene Person eine Beschwerde beim Bundesverwaltungsgericht einreichen.
208 16. Tätigkeitsbericht 2008/ 2009 des EDÖB III. Aufgrund dieser Erwägungen empfi ehlt der Datenschutz- und Öffentlichkeitsbeauftragte:
209 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 6. Die Empfehlung wird eröffnet: X Eidg. Departement für auswärtige Angelegenheiten 3003 Bern Hanspeter Thür Anhang (nur EDA):
210 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 4.2.3 Empfehlung an das Eidgenössische Departement des Innern: «Stiftungsaufsicht / Aufsichtstätigkeit» Empfehlung gemäss Art. 14 des Bundesgesetzes über das Öffentlichkeitsprinzip der Verwaltung vom 17. Dezember 2004 zum Schlichtungsantrag von X (Antragsteller) gegen Eidgenössische Stiftungsaufsicht, Eidgenössisches Departement des Innern, Bern
211 16. Tätigkeitsbericht 2008/ 2009 des EDÖB I. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest:
Die Stiftungsaufsicht verweigerte dem Antragsteller am 11. Oktober 2007 den Zugang «in alle einschlägigen, durch die Schweizer Paraplegiker-Stiftung einge- reichten und durch die Eidgenössische Stiftungsaufsicht erstellten, amtlichen Dokumente und Auskünfte, insbesondere aber in alle, die mit der Rückzahlung gemäss Urteil des Schweizerischen Bundesgerichts zu tun haben. Die Verwei- gerung des Zugangs wird damit begründet, dass Ihr Gesuch Akten eines er- stinstanzlichen Verwaltungsverfahrens (Art. 3 Abs. 1 Bst. b BGÖ) betrifft und unter die vom Öffentlichkeitsgesetz vorgesehenen Ausnahmebestimmungen (Art. 7 BGÖ) fällt.» 3. Mit Schreiben vom 13. Oktober 2007 ersuchte der Antragsteller den Eidge- nössischen Datenschutz- und Öffentlichkeitsbeauftragten (Beauftragter) um Schlichtung. Er führte dazu aus, dass die von der Stiftungsaufsicht angeführte Bestimmung von Art. 3 Abs. 1 Bst. b BGÖ nicht auf ihn anwendbar sei, da er keine Partei in einem Verwaltungsverfahren sei. Er erachte daher die Begrün- dung «als schludrig und damit schikanös». 4. An der Schlichtungsverhandlung vom 26. November 2008 anerkannte die Stif- tungsaufsicht, dass die Begründung für die Zugangsverweigerung (insbeson- dere der Verweis auf Art. 3 Abs. 1 Bst. b BGÖ) materiell nicht korrekt gewesen sei. Vielmehr hätte der Zugang mit Hinweis auf das in casu gegebene Ge- schäftsgeheimnis (Art. 7 Abs. 1 Bst. g BGÖ) und auf den Schutz von Personen- daten (Art. 9 BGÖ) verweigert werden sollen.
212 16. Tätigkeitsbericht 2008/ 2009 des EDÖB An der Schlichtungsverhandlung wies die Stiftungsaufsicht u.a. darauf hin, dass es 11 Aktenordner zur SPS gebe und das Zugangsgesuch daher zu allge- mein formuliert gewesen sei. Daraufhin konkretisierte der Antragsteller sein Gesuch, indem er um Zugang zu allen Dokumenten ersuchte, welche die Stif- tungsaufsicht erstellt hat betreffend:
Entsprechend dem konkretisierten Zugangsgesuch hat der Beauftragte fol- gende Dokumente zur Beurteilung nach den Vorgaben des Öffentlichkeitsge- setzes ausgewählt:
213 16. Tätigkeitsbericht 2008/ 2009 des EDÖB II. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte zieht in Erwägung: A. Schlichtungsverfahren und Empfehlung gemäss Art. 14 BGÖ
214 16. Tätigkeitsbericht 2008/ 2009 des EDÖB B. Sachlicher Geltungsbereich
Zur Frage der inhaltlichen Bestimmtheit eines Zugangsgesuchs hält Art. 10 Abs. 3 BGÖ fest, dass das Gesuch hinreichend genau formuliert sein muss, damit die Behörde das gewünschte Dokument überhaupt identifi zieren kann. Gelingt dies der Behörde nicht, kann sie vom Gesuchsteller verlangen, dass er sein Gesuch präzisiert (Art 7 Abs. 3 der Verordnung über das Öffentlichkeits- prinzip der Verwaltung, Öffentlichkeitsverordnung, VBGÖ, SR 152.31). Dieses Vorgehen ist nur dann sinnvoll, wenn es dem Gesuchsteller zugemutet wer- den kann, Angaben zu liefern, die das Dokument eindeutiger bezeichnen (wie beispielsweise Erstellungsdatum oder betroffener Sachbereich; Art. 7 Abs. 2 VBGÖ). Eine Präzisierung setzt voraus, dass entsprechende Angaben in dieser Form auch allgemein zugänglich sind. Ist dies nur beschränkt oder überhaupt nicht der Fall, kann eine Behörde vom Gesuchsteller auch nicht verlangen, dass er sein Zugangsgesuch weiter präzisieren muss. Vielmehr gelangt in einem solchen Fall Art. 3 Abs. 1 VBGÖ zur Anwendung, gemäss dem die Behör- de dem Gesuchsteller Auskunft über die verfügbaren amtlichen Dokumente geben und ihn bei seinem Vorgehen unterstützen muss. Am einfachsten ist dies zu bewerkstelligen, indem sie mit dem Gesuchsteller telefonisch Kontakt aufnimmt und mit ihm die notwendige Spezifi zierung vornimmt. Weiter kann sie dieser Verpfl ichtung auch nachkommen, indem sie ihm einen Ausdruck mit der Aufl istung aller Dokumente des Dossiers zustellt oder – sofern die Behörde über kein Dokumentenmanagementsystem verfügt – eine Liste der vorhandenen Dokumente erstellt. 3
In diesem Sinn hat der Beauftragte auch Dokumente ausgeschieden, die von der Stiftungsaufsicht zeitlich vor dem 8. Juni 2007 und nach dem Rücktritt des damaligen Stiftungsratspräsidenten (auf den 1. Oktober 2007, der Beauftragte) erstellt worden sind. 2. Ablehnende Stellungnahme: Wenn eine Behörde den Zugang verweigert oder beschränkt, muss sie dies summarisch begründen (Art. 12 Abs. 4 BGÖ). 4 Keine ausreichende Begründung liegt vor, wenn in der ablehnenden Stellungnahme lediglich ausgeführt wird, dass eine vom Öffentlichkeitsgesetz vorgesehene Ausnahmebestimmung (Art. 3 ebenso Handkommentar zum BGÖ, Art. 10 Rz. 34 4 s.a. BBl 2003 2022f.
215 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 7 BGÖ) vorliegt, oder wenn der blosse Wortlaut der Ausnahmebestimmung zitiert wird. Es ist daher zu fordern, dass die negative Stellungnahme in einer Weise zu motivieren ist, die es dem Gesuchsteller erlaubt, die Überlegungen der Behörde zumindest in Grundzügen nachvollziehen zu können. 5 3. Öffentlichkeitsgesetz - Instrument zur Kontrolle der Verwaltung:
Gemäss der bundesrätlichen Botschaft zum Öffentlichkeitsgesetz sollte die Einführung des Öffentlichkeitsprinzips u.a. auch zu einer Verbesserung der Beziehungen zwischen dem Staat und der Bevölkerung beitragen. Darum sah er es als unerlässlich an, «dem Bürger oder der Bürgerin die Möglichkeit zuzugestehen, selber Informationen zu beschaffen und ihm oder ihr zu er- lauben, den Wahrheitsgehalt amtlicher Verlautbarungen zu überprüfen.» 6 Der Bundesrat betrachtete denn auch das Öffentlichkeitsprinzip ausdrücklich als «zusätzliches, unmittelbares Instrument zur Kontrolle der Verwaltung durch die Bürgerinnen und Bürger». 7 Vorliegend möchte der Antragsteller wissen, welche Massnahmen eine Auf- sichtsbehörde von einer Stiftung gefordert und ergriffen hat, deren früherer Stiftungsratspräsident letztinstanzlich vom Bundesgericht wegen Veruntreu- ung verurteilt worden ist. Letztlich verlangt er nichts anderes als Transparenz über sämtliche Aktivitäten der Aufsichtsbehörde in Bezug auf die Ausübung ih- rer Aufsichtstätigkeit in einem konkreten Fall. Sein Zugangsgesuch deckt sich somit mit den mit der Einführung des Öffentlichkeitsprinzips angestrebten Zielsetzungen. 4. Amtliche Dokumente: Bei den in Ziffer I.5. aufgeführten Dokumenten handelt es sich um amtliche Dokumente im Sinne von Art. 5 Abs. 1 BGÖ. Dies gilt explizit auch für die Ak- tennotiz/Aide-mémoire vom 13. September 2007. Das Dokument, das vom Ersteller unterzeichnet ist, trägt die Überschrift «Aide-mémoire» und richtet sich an den Departementschef, den Generalsekretär und dessen Stellvertreter. Es enthält zum einen Ausführungen, Zahlen und Fakten zur laufenden Angele- genheit und hält zum anderen die Position der Stiftungsaufsicht fest. 5 ebenso Handkommentar zum BGÖ, Art. 10 Rz. 34 6 BBl 2003 1973 7 BBl 2003 1974
216 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Die Bezeichnung eines Dokuments als «Aktennotiz» bedeutet nicht automa- tisch, dass es «ausschliesslich der Autorin, dem Autoren oder einem eng be- grenzten Personenkreis als Arbeitshilfsmittel» (Art. 1 Abs. 3 VBGÖ) dient und daher ein zum persönlichen Gebrauch bestimmtes Dokument ist. Indem es die wichtigsten Fakten sowie die Position der Stiftungsaufsicht zuhanden der Vorgesetzten a ufl istet, ist es als amtliches Dokument im Sinne von Art. 5 Abs. 1 BGÖ zu qualifi zieren. Die Unterschrift und die defi nitive Übergabe des Dokuments an die Adressaten «zur Kenntnis- oder Stellungnahme oder als Entscheidgrundlage» (Art. 1 Abs. 2 Bst. b VBGÖ) belegen überdies, dass das Dokument fertig gestellt ist. Die Aktennotiz/Aide-mémoire ist als amtliches, fertig gestelltes Dokument im Sinne von Art. 5 Abs. 1 BGÖ zu qualifi zieren. 5. Geschäftsgeheimnis: Die Stiftungsaufsicht ist der Ansicht, dass der Zugang zu den von ihr erstellten Dokumenten in Zusammenhang mit der Rückzahlung des Deliktbetrags und der Abberufung des Präsidenten aufgrund des Geschäftsgeheimnisses ge- mäss Art. 7 Abs. 1 Bst. g BGÖ verweigert werden muss. Diese Ausnahmeklausel will jene wesentlichen Informationen, die für den Ge- heimnisträger von zentraler Bedeutung sind und die auch tatsächlich Geheim- nischarakter aufweisen, vom Zugang ausnehmen. Dabei muss das Geheim- haltungsinteresse des Betroffenen legitim und sein Geheimniswille ersichtlich sein. 8 Sowohl in den Print- wie auch in den elektronischen Medien wurde breit über die Urteile des Appellationgerichts des Kantons Basel-Stadt und des Bundes- gerichts sowie über deren Folgen, also über die hier zu beurteilenden Sach- verhalte (Rückzahlung des Deliktsbetrags und Abberufung des damaligen Stiftungsratspräsidenten), berichtet. Weiter haben sich auch die Betroffenen selbst verschiedentlich zu den Ereignissen öffentlich geäussert. Daher weisen nach Ansicht des Beauftragten diese Informationen, die sich in den hier zu beurteilenden amtlichen Dokumenten fi nden, keinen Geheimnischarakter auf. Sie sind Tatsachen, die aufgrund der erwähnten Ereignisse in der Öffentlichkeit allgemein bekannt sowie allgemein zugänglich sind. 8 Bundesamtes für Justiz: «Leitfaden Gesuchsbeurteilung und Checkliste» vom 24.05.2006, S. 8
217 16. Tätigkeitsbericht 2008/ 2009 des EDÖB Die Ausnahmeklausel von Art. 7 Abs. 1 Bst. g BGÖ gelangt vorliegend nicht zur Anwendung. 6. Personendaten: Die in Ziffer I.5. aufgeführten amtlichen Dokumente enthalten Personendaten im Sinne von Art. 3 Bst. a des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) zu folgenden Personen:
218 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 6.2. Namen des Rechtsanwalts, der Stiftungsratsmitglieder und weiterer Personen: Entsprechend Art. 9 Abs. 1 BGÖ können die in den fraglichen Dokumenten enthaltenen Personendaten des Rechtsanwalts, der im Protokoll vom 23. April 2007 erwähnten Mitglieder des Stiftungsrates der SPS und weiterer Personen problemlos anonymisiert respektive pseudonymisiert werden. 6.3. Namen von Y, der SPS und Z: Nach Ansicht der Stiftungsaufsicht können diese Personendaten nicht anony- misiert werden, da aufgrund der konkreten Umstände weiterhin Rückschlüsse auf die Person der betroffenen Dritten möglich seien. Wie vorgängig erwähnt, muss die Beurteilung des Zugangsgesuchs nach Art. 19 DSG erfolgen. Art. 19 Abs. 1bis DSG ermöglicht es Bundesbehörden, ge- stützt auf das Öffentlichkeitsgesetz Personendaten bekannt zu geben, wenn die betreffenden Personendaten im Zusammenhang mit der Erfüllung einer öffentlichen Aufgaben stehen und wenn an ihrer Bekanntgabe ein überwie- gendes öffentliches Interesse besteht. Diese Bestimmung stellt eine Koordina- tionsnorm zu Art. 7 Abs. 2 BGÖ dar, der vorsieht, dass der Zugang zu amtlichen Dokumenten beschränkt wird, wenn durch seine Gewährung die Privatsphäre Dritter beeinträchtigt werden könnte. Ausnahmsweise muss deren Privats- phäre einem überwiegenden Interesse der Öffentlichkeit am Zugang zu den Dokumenten weichen. Im Folgenden gilt es zu prüfen, ob (1°) die Zugangsgewährung zu einer Beein- trächtigung der Privatsphäre der betroffenen Dritten führt und (2°) ein allfäl- liges überwiegendes Interesse einen teilweisen oder vollumfänglichen Zugang zu den fraglichen Dokumenten rechtfertigt. 6.4. Beeinträchtigung der Privatsphäre:
Es stellt sich die Frage, ob angesichts der in der Öffentlichkeit bereits be- kannten Einzelheiten dieses Falles eine uneingeschränkte Gewährung des Zu- gangs zu den fraglichen Dokumenten die Privatsphäre der betroffenen Dritten (Y, der SPS, Z) überhaupt beeinträchtigen kann. Der vorliegende Fall zeichnet sich dadurch aus, dass
219 16. Tätigkeitsbericht 2008/ 2009 des EDÖB
Y und auch die SPS selber wiederholt öffentlich Position dazu bezogen haben (Site der SPS http://www.paraplegiker.ch/sw31702.asp, Paraplegi- ker-Magazin 10 ).
Y nicht als Privatperson, sondern in seiner Funktion als ehemaliger Stif- tungsratspräsident gehandelt hat, und er sich für sein Wirken in der Öf- fentlichkeit - gerade auch im Zusammenhang mit seiner Verurteilung durch das Bundesgericht und seiner Abberufung aus dem Stiftungsrat
weitergehende Eingriffe in seine Privatsphäre gefallen lassen muss.
die SPS gemäss eigenen Angaben über einen «sehr grossen Rückhalt in der Bevölkerung» verfügt und 1,2 Millionen Haushalte des Landes der Z angehören. 11
die Stiftungsaufsicht eine Verfügung im Internet publiziert hat, die zwar nich t die hier erwähnten Sachverhalte zum Gegenstand hat, aber in der sie u.a. darauf hinweist, dass «die Eidgenössische Stiftungsaufsicht und die Öffentlichkeit bezüglich Rückerstattung des vom Bundesgericht festgestellten Deliktsbetrags getäuscht wurden, indem der überwiesene Betrag nicht aus der Vermögenssphäre von ∎∎∎ stammte, sondern in Wirklichkeit durch die ∎∎∎ geleistet wurde». 12 Auf Grund dieser Tatsachen gelangt der Beauftragte zur Ansicht, dass die Ge- währung des Zugangs zu den fraglichen amtlichen Dokumenten zu keiner Be- einträchtigung der Privatsphäre der betroffenen Dritten (Y, der SPS, Z) führt. 6.5. Vorliegen eines überwiegenden öffentlichen Interesses: Selbst wenn man die Haltung vertreten würde, dass die Gewährung des Zu- gangs die Privatsphäre der Betroffenen tatsächlich beeinträchtigte, käme im vorliegenden Fall hinzu, dass nach Einschätzung des Beauftragten das öffent- liche Interesse am Zugang jenes der betroffenen Dritten am Schutz ihrer Pri- vatsphäre überwiegt. Die Verurteilung eines Stiftungsratspräsidenten wegen Veruntreuung sowie die Täuschung der «Eidgenössische(n) Stiftungsaufsicht und (der) Öffentlichkeit bezüglich Rückerstattung des vom Bundesgericht fest- 10 Stellungnahme des Stiftungsrates SPS zum Bundesgerichtsurteil, veröffentlicht in «Paraplegie, Das offi zielle Magazin der Schweizer Paraplegiker-Stiftung», Juni 2007, S. 6f. 11 http://www.paraplegiker.ch/sw11888.asp 12 Verfügung vom 20. Februar 2008 in Sachen Schweizer Paraplegiker-Stiftung (nur in deutscher Sprache); Zitat S. 6
220 16. Tätigkeitsbericht 2008/ 2009 des EDÖB gestellten Deliktsbetrags» 13 im konkreten Fall begründen ein besonderes In- formationsinteresse der Öffentlichkeit im Sinne von Art. 6 Abs. 2 Bst. a VBGÖ. Als besonderer Umstand kommt die Tatsache hinzu, dass es sich bei der SPS um eine für schweizerische Verhältnisse ausserordentlich bekannte wie be- deutende Stiftung handelt, die jedes Jahr von einer beträchtlichen Anzahl von Personen («1.2 Millionen Haushalte») Millionenbeträge an Gönnerbeiträgen, Spenden sowie Zuwendungen aus Erbschaften und Legaten erhält. Des Wei- teren besteht im vorliegenden Fall auch ein berechtigtes öffentliches Interesse an der korrekten Umsetzung des Öffentlichkeitsgesetzes: Es soll in Erfahrung gebracht werden können, welche Schritte die zuständige staatliche Aufsichts- behörde in einem Fall, der in der Öffentlichkeit auf grosses Interesse gestos- sen ist, konkret unternommen hat. 6.6. Zusammenfassend kann daher festgehalten werden, dass:
Der Beauftragte eröffnet diese Empfehlung allen Personen, die betroffene Dritte im Sinne von Art. 7 Abs. 2 BGÖ sind. Sie haben somit - wie der Antragstel- ler - die Möglichkeit, von der Stiftungsaufsicht den Erlass einer Verfügung zu verlangen und gegen diese eine Beschwerde beim Bundesverwaltungsgericht einzureichen. 13 Zitat Verfügung vom 20. Februar 2008 der Stiftungsaufsicht
221 16. Tätigkeitsbericht 2008/ 2009 des EDÖB III. Aufgrund dieser Erwägungen empfi ehlt der Datenschutz- und Öffentlichkeitsbeauftragte:
Die Eidgenössische Stiftungsaufsicht erlässt die Verfügung innert 20 Tagen nach Empfang dieser Empfehlung (Art. 15 Abs. 3 BGÖ). 3. Der Antragsteller und die von dieser Empfehlung betroffenen Personen (Y, die Schweizer Paraplegiker-Stiftung und Z) können innerhalb von 10 Tagen nach Erhalt dieser Empfehlung bei der Eidgenössischen Stiftungsaufsicht den Erlass einer Verfügung nach Artikel 5 des Verwaltungsverfahrensgesetzes verlangen, wenn sie mit der Empfehlung nicht einverstanden sind (Art. 15 Abs. 1 BGÖ).
Gegen diese Verfügung kann beim Bundesverwaltungsgericht Beschwerde geführt werden (Art. 16 BGÖ). 4. Diese Empfehlung wird veröffentlicht. Entsprechend den Vorgaben von Art. 13 Abs. 3 VBGÖ muss der Beauftragte die Namen des Antragstellers und der betroffenen Drittpersonen anonymisieren. 5. In Analogie zu Art. 22a des Bundesgesetzes über das Verwaltungsverfahren (SR 172.021) stehen gesetzliche Fristen, die nach Tagen bestimmt sind, vom 18. Dezember bis und mit dem 2. Januar still.
222 16. Tätigkeitsbericht 2008/ 2009 des EDÖB 6. Die Empfehlung wird eröffnet: