Tätigkeitsbericht 1999/2000 des Eidgenössischen DatenschutzbeauftragtenS. 3 Dieser Bericht ist auch über das Internet ( www.edsb.ch) abrufbar. Rapport d'activités 1999/2000 du Préposé fédéral à la protection des donnéesS. 130 Ce rapport est également disponible sur Internet ( www.edsb.ch)
Tätigkeitsbericht 1999/2000 des EDSB 2 Eidgenössischer Datenschutzbeauftragter Tätigkeitsbericht 1999/2000 Der Eidgenössische Datenschutzbeauftragte hat dem Bundesrat periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 Datenschutzgesetz). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 1999 und 31. März 2000 ab.
Tätigkeitsbericht 1999/2000 des EDSB 3 INHALTSVERZEICHNIS INHALTSVERZEICHNIS............................................................................................................................. 3 VORWORT........................................................................................................................................................ 7 ABKÜRZUNGSVERZEICHNIS............................................................................................................... 9 I.AUSGEWÄHLTE THEMEN......................................................................................................... 10 1.Polizeiwesen.............................................................................................................................................. 10 1.1. Innere Sicherheit : Anschluss der Kantone an das ISIS-System*....................................................... 10 1.2.Ausübung des « indirekten » Auskunftsrechts durch die betroffenen Personen* ............................... 10 1.3. Projekt «Neuer Schweizer Pass»........................................................................................................ 12 1.4. Projekt «Casino 2000» ....................................................................................................................... 13 1.5. Verordnung über das automatisierte Strafregister .............................................................................. 14 2.Ausländer- und Asylrecht........................................................................................................................ 15 2.1. Datenbearbeitung durch die Sektion Bürgerrecht* ............................................................................ 15 3.Telekommunikation und Post.................................................................................................................. 16 Telekommunikation .................................................................................................................................... 16 3.1. Das Recht auf Datenschutz im Telekommunikationssektor* ............................................................. 16 3.2. Revision der Verordnung über Fernmeldedienste* ............................................................................ 20 3.3. Verwechslung zweier Kunden beim Versand der detaillierten Rechnung*........................................ 22 3.4. Urteil der Eidgenössischen Datenschutzkommission in Sachen Gebührenerhebung bei der Rufnummerunterdrückung*................................................................................................................ 23 Post ............................................................................................................................................................. 24 3.5. Die Aktualisierung von Postadressen mit Mat[CH]move .................................................................. 24
INTERNET und datenschutzfreundliche Technologien....................................................................... 26 4.1. Beachtung des Verhältnismässigkeitsprinzips bei Demomodus im Internet ...................................... 26 4.2. Unautorisierter Zugang zu Datenbanken via Internet.........................................................................27 5.Datenschutz und e-Commerce................................................................................................................. 28 5.1. Schlüsselelemente für die Entwicklung des elektronischen Geschäftsverkehrs ................................. 28 5.2. Hinweise zur Erstellung einer Datenbearbeitungserklärung für Internetdienste................................. 29 6.Personalwesen........................................................................................................................................... 31 Bundesverwaltung ...................................................................................................................................... 31 6.1. Videoüberwachung am Arbeitsplatz: Begriff der Verhaltensüberwachung ....................................... 31 6.2. Beamtengesetzgebung und BV-PLUS ............................................................................................... 34 6.3. Datenschutz bei den regionalen Arbeitsvermittlungszentren (RAV).................................................. 35 Privatbereich............................................................................................................................................... 35 6.4. Merkblatt über den Datenschutz beim Telefonieren am Arbeitsplatz ................................................ 35 7.Versicherungswesen................................................................................................................................. 36 Sozialversicherungen .................................................................................................................................. 36 7.1. Anpassung der Sozialversicherungsgesetzgebung an das Datenschutzgesetz .................................... 36 7.2. Pensionskassengelder: Suche nach Anspruchsberechtigten ............................................................... 37 7.3. Prozessanalyse im Sozialversicherungsbereich.................................................................................. 38 7.4. Expertenkommission für den Persönlichkeitsschutz in der sozialen und privaten Kranken- und Unfallversicherung ............................................................................................................................. 39 7.5. Bundesgericht: Datenschutz umfasst auch interne Akten................................................................... 40
Tätigkeitsbericht 1999/2000 des EDSB 7 VORWORT Das herankommende 21. Jahrhundert ist von der weltweiten elektronischen Kommunikation gekennzeichnet. Der Datenschutz steht vor einer Entwicklung, die zum Teil bereits Wirklichkeit ist. Die Zahl und der Umfang von Datensammlungen steigt stetig und führt zu ver- schiedenen Datenschutzproblemen, die angesichts der Vorteile die Daten- sammlungen bieten nicht für jedermann auf den ersten Blick erkennbar sind. Tatsache ist, dass die Benutzung der neuen Technologien mehr Datenspuren hinterlässt. Jeder muss deshalb wissen, dass wenn er seine Daten einfach frei gibt, Dritten die Möglichkeit gibt, umfassende Verhaltens-, Bewegungs- Kon- sum-, oder Gewohnheitsprofile über ihn zu erstellen. Dabei ist nicht auszu- schliessen, dass ein falsches Bild über seine Persönlichkeit entsteht. Hinzu kommt, dass ein grosser Teil von Informationen in den verschiedenen Daten- sammlungen noch ungenutzt ist. Es bestehen bereits Methoden, um daraus indi- viduelle Profile herzustellen. Diese Analysemethoden bilden ein hervorragendes Instrument für das Marketing. Darüber hinaus kann mit solchen Analyse- methoden auch die Idee des gläsernen Bürgers verwirklicht werden. Diese Entwicklung in der elektronischen Kommunikation darf nicht dazu führen, dass die Persönlichkeitsrechte der Bürger zurückgestellt werden. Deshalb muss der Datenschutz schon bei der Konzeption von Informationssy- stemen als Baustein eingebaut werden. Der Systemdatenschutz ist auszubauen, um den datenschutzrechtlichen Problemen der weitweiten Vernetzung von Datensammlungen entgegenzuwirken. Die Systeme sind deshalb einerseits technisch und organisatorisch datensparend auszugestalten, andererseits sollten sie den Betroffenen ermöglichen, ihre Ansprüche effektiv geltend zu machen. Datenschutz muss aber vielmehr auch auf technischen Selbstschutz (z.B. Ver- schlüsselungstechniken) gegenüber unerlaubtem Datenumgang bauen. Auf diese Weise lassen sich die Risiken der elektronischen Kommunikation durch die Bürger teilweise selbst steuern. Zudem müssen künftig vermehrt Datenschutzregelungen in Selbstregulierungs- modelle eingebaut werden (z.B. Verhaltensregeln von Verbänden). Daneben ist bei grenzüberschreitenden Datenübermittlungen – abgesehen von nationalen Regelungen - vor allem durch internationale Regelungen der Schutz der Pri- vatsphäre zu verbessern. Um den Risiken der elektronischen Kommunikation effektiv entgegen zu treten, müssen flankierende Massnahmen zur Verbesserung des Schutzes der Privats- phäre ergriffen werden, wie die aktive Förderung der Verschlüsselungsver- fahren durch Privatpersonen und Unternehmen, die Erbringung von Service- leistungen, die den Gebrauch von effektiven Verschlüsselungsprogrammen für
Tätigkeitsbericht 1999/2000 des EDSB 8 jedermann erleichtern, die Förderung von Projekten, die die Anonymität im Internet ermöglichen. Für die Akzeptanz der elektronischen Kommunikation und der neuen Techno- logien wird die Sicherstellung der Privatsphäre des Einzelnen von entscheidender Bedeutung sein. In absehbarer Zukunft werden Produkte und Dienstleistrungen, die mit möglichst wenig Personendaten auskommen, anderen vorgezogen, die umfangreiche Datenspuren hinterlassen. Odilo Guntern
Tätigkeitsbericht 1999/2000 des EDSB 9 ABKÜRZUNGSVERZEICHNIS BAPBundesamt für Polizei BEHGBundesgesetz über die Börsen und den Effektenhandel, Börsengesetz BFABundesamt für Ausländerfragen BFFBundesamt für Flüchtlinge BSVBundesamt für Sozialversicherung BWISBundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit CJPDProjektgruppe für den Datenschutz DNS (DNA)Desoxyribonukleinsäure DOSISDatenverarbeitungssystem zur Bekämpfung des illegalen Drogenhandels EDAEidg. Departement für auswärtige Angelegenheit EDNAErkennungsdienstliche Identifizierung mit DNA-Profilen EMRKEuropäische Menschenrechtskommission FAMPDatenverarbeitungssystem zur Bekämpfung der Falschmünzerei, des Menschenhandels und der Pornografie FZGFreizügigkeitsgesetz GEWADatenverarbeitungssystem zur Bekämpfung der Geldwäscherei GPDGeschäftsprüfungsdelegation ICDInternationale statistische Klassifikation der Krankheiten und verwandter Gesundheitsprobleme ICTYInternationaler Strafgerichtshof für die Untersuchung von Kriegsverbrechen im ehemaligen Jugoslawien (International Criminal Tribunal for the former Yugoslavia) IPASInformatisiertes Personennachweis-, Aktennachweis- und Verwaltungs- System ISDNDienstintegrierendes digitales Netz ISOKDatenverarbeitungssystem zur Bekämpfung der organisierten Kriminalität ISISStaatschutz-Informationssystem IVVVerordnung über die Invalidenversicherung KSKKonkordat des Schweizerischen Krankenversicherer KVGBundesgesetz über die Krankenversicherung MEDASMedizinischen Abklärungsstellen MWSTVVerordnung über die Mehrwertsteuer StGBStrafgesetzbuch SUVASchweizerische Unfallversicherungsanstalt SVVSchweizerischer Versicherungsverband T-PDBeratende Ausschuss des Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten VSBVereinbarung über die Standesregeln zur Sorgfaltspflicht der Banken ZASZentrale Ausgleichkasse ZentGBundesgesetzes über kriminalpolizeiliche Zentralstellen des Bundes ZISZentrales Informationssystem
Tätigkeitsbericht 1999/2000 des EDSB 10 I.AUSGEWÄHLTE THEMEN
Polizeiwesen 1.1.Innere Sicherheit : Anschluss der Kantone an das ISIS-System Die Verordnung über das Staatsschutz-Informations-System wurde einer Totalrevision unterzogen. Die Revision führt zu einer verstärkten Zusammenarbeit zwischen Bund und Kantonen, welche neu an das ISIS-System angeschlossen sind. Wir wurden um eine Stellungnahme zu diesem Projekt ersucht und haben verschiedene Vorschläge unter- breitet. Die für die Sicherheit verantwortlichen kantonalen Stellen wurden an das Staatsschutz-Informations-System (ISIS) angeschlossen mit dem Ziel, die Zu- sammenarbeit zwischen Bund und den Kantonen im Bereich der Wahrung der inneren Sicherheit zu verstärken. Die formelle Gesetzesgrundlage für diesen Anschluss stellt das Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit (BWIS) dar. Im Rahmen der Anschlüsse der Kantone nahm die Bun- despolizei eine Totalrevision der ISIS-Verordnung vor, welche die Datennut- zung und –erhebung sowie den Umgang mit dem ISIS-System regelt. Die neue Verordnung hält insbesondere fest, welche Daten des ISIS-Systems von den kantonalen Sicherheitsorganen eingesehen werden können. Dagegen bleibt wie in der Vergangenheit allein die Bundespolizei befugt, Daten in das ISIS-System einzugeben. Eine interne Kontrollstelle überprüft sämtliche er- fassten Daten, vor allem die Quellenangabe, die Einschätzung der Information und die Aufbewahrungsdauer. Wir wurden von der Bundespolizei zum Revisionsentwurf befragt und haben verschiedene Vorschläge unterbreitet, die im endgültigen Entwurf akzeptiert und übernommen wurden. Es handelt sich vor allem um Aspekte zu bestimmten Definitionen, zur Datenbekanntgabe, zum Anschluss der Kantone, zur Daten- aufbewahrungsdauer und zum Auskunftsrecht der betroffenen Personen. Die neue ISIS-Verordnung ist am 1. Januar 2000 in Kraft getreten. 1.2.Ausübung des « indirekten » Auskunftsrechts durch die betroffenen Personen Gemäss dem Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit kann jede Person beim EDSB eine Nachprüfung verlangen, ob die Bundespolizei im Staats-
Tätigkeitsbericht 1999/2000 des EDSB 11 schutz-Informations-System (ISIS) rechtmässig Daten über sie bearbeitet. Zwei Jahre nach dem Inkrafttreten der neuen Regelung lässt sich die Anwendung des « indirekten » Auskunftsrechtes analysieren, parallel zum weitgehend ähnlichen Verfahren des « indirekten » Auskunftsrechts, welches das Bundesgesetz über die kriminalpolizeilichen Zentralstellen des Bundes vorsieht (Zugang zu den Systemen DOSIS, ISOK, FAMP und GEWA). Nach neunmonatiger Anwendung des «indirekten» Auskunftsrechts wurde erstmals Bilanz gezogen (siehe 6. Tätigkeitsbericht 1998/99, S. 36 ff.). Ein Jahr danach lässt sich auf Grund der Erfahrungen, die sowohl mit der Anwendung der Regelung zum «indirekten» Auskunftsrecht gemäss dem Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit (BWIS) als auch mit dem Bundesgesetz über die kriminalpolizeilichen Zentralstellen des Bundes (ZentG) gemacht wurden, erneut Bilanz ziehen. Zu den rund dreissig Auskunftsgesuchen, die in Anwendung des BWIS gestellt wurden (Auskunft zum ISIS-System der Bundespolizei) kommen rund zehn an- dere Auskunftsgesuche hinzu, die auf dem ZentG beruhen (Auskunft zu den Systemen DOSIS, ISOK, FAMP und GEWA der Zentralstellen). Dieses Gesetz sieht einen ähnlichen «indirekten Auskunftsmechanismus» vor wie das BWIS, aber mit einem noch restriktiveren Ansatz, denn der betroffenen Person wird eine einzige stets gleichlautende Antwort gegeben. Die Entscheidung des Bundesrates im September 1999, die Bundespolizei von der Bundesanwaltschaft in das Bundesamt für Polizei (BAP) zu verlagern, ver- anlasste uns, ein Standardverfahren zur Ausübung des «indirekten» Auskunfts- rechts zu entwickeln, das für Gesuche zur Datenbearbeitung durch die Bundes- polizei und durch die Zentralstellen gilt. In enger Zusammenarbeit mit den ein- zelnen BAP-Einheiten erarbeiteten wir ein klares, einheitliches Verfahren zum Ablauf der Ausübung der «indirekten» Auskunftsrechte. Die Besonderheiten der beiden anzuwendenden Gesetze wurden dabei berücksichtigt. Durch das Zusammentragen der Erfahrungen mit der Anwendung des BWIS und des ZentG konnten Verfahrensregeln, die eine angemessene Anwendung des «indirekten» Auskunftsrechts gewährleisten sollen, sowie die Einsichtsart in die Informatiksysteme und in etwaige Aktenunterlagen über eine gesuchstel- lende Person aufgestellt werden. Aufgrund der Erfahrungen mit den Regelungen zum «indirekten» Auskunfts- recht lässt sich in vier Punkten folgende Bilanz ziehen:
Tätigkeitsbericht 1999/2000 des EDSB 12 Der neue Mechanismus stellt erstens insofern kein eigentliches indirektes Aus- kunftsrecht dar, weil die betroffene Person, die ein Auskunftsgesuch gestellt hat, von uns in der Regel nur eine stets gleichlautende Antwort erhält, die kei- nen Aufschluss darüber gibt, ob sie erfasst ist oder nicht. Zweitens erlaubt uns der Mechanismus, im Gegenzug indirekt eine regelmässigere Kontrolle über die Datenbearbeitungen der Bundespolizei und der Zentralstellen des BAP durchzu- führen. Drittens verlangt diese Aufgabe von uns beachtliche Investition von Ressourcen, damit jedes Gesuch gemäss den gesetzlichen Erfordernissen be- handelt werden kann. Obwohl zusammen mit dem BAP zahlreiche Regeln zur Anwendung dieser Bestimmungen eingeführt wurden, werden wir schliesslich parallel zur Behandlung der an uns gerichteten Auskunftsgesuche gemeinsam mit dem BAP weiterhin nach Lösungen für die noch ausstehenden juristischen und verfahrensmässigen Probleme suchen. 1.3.Projekt «Neuer Schweizer Pass» Die hohe Fälschungssicherheit des Schweizer Passes 85 nimmt ab. Im Gegensatz zu den Pässen der meisten europäischen Nachbarländer ist der Pass nicht maschinenlesbar. Deshalb wurde vom Leiter des Eidgenössischen Justiz- und Polizeidepartement Ende November 1998 ein Projektausschuss mit dem Auftrag eingesetzt, einen neuen Schweizer Pass zu entwickeln und ein Bundesgesetz über die Ausweisschriften zu erarbeiten. Der Eidgenössische Datenschutzbeauftragte war sowohl im Projektausschuss als auch in der Arbeitsgruppe Recht vertreten. Den Grossteil der Zeit war die Arbeit unter anderem auch von dem Wunsch getragen, transparent und klar die im Zusammenhang mit den erforderlichen Bearbeitungen der Personendaten relevanten Gesichtspunkte zu regeln. Im Hinblick auf eine zu schaffende zen- trale Datenbank auf Bundesebene lehnte man sich anfänglich an Zielsetzung, Inhalte und Vorgaben der beim Bundesamt für Polizeiwesen geführten IDK- Datenbank an. Da diese als reine Administrativdatenbank konzipiert war, ging man lange Zeit davon aus, dass auch die zu schaffende Datenbank die Funktion einer reinen Administrativdatenbank hätte. Diese Zielsetzung wurde zwar nicht ausdrücklich im Gesetzesentwurf festgehalten, kam jedoch in den ursprünglich vorgesehenen Zugriffsberechtigungen zum Ausdruck. Entgegen unserem Ein- wand, die Administrativdatenbank werde zu einer polizeilichen Fahndungsda- tenbank, wurden in den Entwurf sowohl die Grenzwachtkorps als auch die Grenzpolizeien als zugriffsberechtigt aufgenommen. Obwohl wir unsere Posi- tion bis zum Schluss beibehielten, hat der Projektausschuss die auf die Gren- zwachtkorps und –polizeien erweiterten Zugriffsberechtigungen gutgeheissen. Im Nachhinein mussten wir erfahren, dass das Eidgenössische Justiz- und Polizeidepartement diesen Entscheid des Projektausschusses umgestossen hat
Tätigkeitsbericht 1999/2000 des EDSB 13 und die Zugriffsberechtigungen noch weiter auf die Polizeistellen des Bundes ausgedehnt hat. Die Polizeistellen des Bundes umfassen die Bundespolizei so- wie die kriminalpolizeilichen Zentralstellen. Zudem wurde der Antrag zur Er- öffnung der Vernehmlassung dem Bundesrat unvollständig unterbreitet, indem lediglich auf unsere ablehnende Haltung hinsichtlich der Zugriffsrechte der Grenzwachtkorps und der Grenzpolizeien hingewiesen wurde. Unsere schrift- liche Intervention bezüglich des Vorgehens sowie der Ausweitung der Zugriffs- rechte auf die Bundespolizei und die kriminalpolizeilichen Zentralstellen wurde überhaupt nicht erwähnt. So sahen wir uns gezwungen, im Mitberichtverfahren an den Bundesrat direkt auf diesen Umstand hinzuweisen. 1.4.Projekt «Casino 2000» «Casino 2000» ist das Projekt, das sich mit der Ausarbeitung der Ausführungsbestim- mungen zum Bundesgesetz über Glücksspiele und Spielbanken befasst. Die Verordnung über Glücksspiele und Spielbanken (Spielbankenverordnung) wurde Ende 1999 in die Ämterkonsultation geschickt. Unser Ziel für die Teilnahme an der Ausarbeitung der Spielbankenverordnung war es, dass in die Ausführungsbestimmungen Bestimmungen aufgenommen werden, die hinreichend die durch die Spielbanken sowie durch die Spielban- kenkommission zu bearbeitenden Personendaten festlegen, Art und Weise so- wie Umstände der Datenbearbeitungen beschreiben und Aufbewahrungsfristen regeln. Auch in diesem Zusammenhang hat es sich einmal mehr gezeigt, dass es vor der Ausarbeitung von Rechtsgrundlagen unabdingbar ist, Aufgaben- und Organisa- tionsanalysen durchzuführen. Ziel und Zweck derartiger Analysen ist es zu er- kennen und zu definieren, wer welche Aufgaben zu erfüllen hat, welche Daten für diese Aufgabenerfüllung unbedingt erforderlich sind und wer für seine Auf- gabenerfüllung welche Daten zu bearbeiten hat. Im Weiteren ist zu prüfen, wel- che Datenflüsse innerhalb einer Organisationseinheit oder aber auch an Dritte notwendig sind, wie die Datenbearbeitungen unter dem Gesichtspunkt der Zweckmässigkeit und der Verhältnismässigkeit zu bearbeiten und wie lange sie aufzubewahren sind. Werden diese Überlegungen nicht vor der Ausarbeitung einer Rechtsgrundlage vorgenommen, hat das wie im Fall des Spielbankengesetzes – in den letzten Jahren nicht ein Einzelfall - zur Folge, dass für die Bearbeitung von besonders schützenswerten Personendaten durch die Spielbanken aus Sicht des Daten- schutzes keine hinreichende Rechtsgrundlage besteht. Ausserdem führt eine fehlende Aufgaben- und Organisationsanalyse vor Ausarbeitung einer Rechts-
Tätigkeitsbericht 1999/2000 des EDSB 14 grundlage dazu, dass unnötig Zeit und Energie in Entwürfe von unzureichende Vorlagen gesteckt wird, die dann wieder mühsam überarbeitet werden müssen. Letztlich wurde die Spielbankenverordnung in einigermassen befriedigender Weise normiert, vor allen Dingen auch unter dem Gesichtspunkt, dass es sich um teilweise neue Ansätze handelt. So wurde darin festgehalten, welche Daten die Spielbankenkommission bearbeitet, welche Angaben die Spielbanken im Zusammenhang mit dem Sozialkonzept, mit dem Sicherheitskonzept sowie beim Eintritt der Kunden in die Spielbanken bearbeiten dürfen. Aus unserer Sicht wünschenswert wäre, wenn nach Ablauf einer gewissen Zeit neu evaluiert würde, ob die Möglichkeit besteht, in der Verordnung Präzisierungen anzubrin- gen. Weiter bleibt unsere Forderung bestehen, dass bei einer nächsten Revision des Gesetzes eine hinreichende Rechtsgrundlage für die Bearbeitung von besonders schützenswerten Personendaten durch die Spielbanken im Zusammenhang mit dem Sozialkonzept geschaffen werden muss. 1.5.Verordnung über das automatisierte Strafregister Zeitgleich mit der Revision des Schweizerischen Strafgesetzbuches über das Strafre- gister trat am 1. Januar 2000 die Verordnung über das automatisierte Strafregister in Kraft. Im Gesetzgebungspaket des Bundesamtes für Polizeiwesen, mit dem der vom Datenschutzgesetz vorgesehenen Übergangsfrist zur Schaffung gesetzlicher Rechtsgrundlagen für die Bearbeitung von besonders schützenswerten Perso- nendaten Rechnung getragen wurde (dazu 5. Tätigkeitsbericht 1997/1998 S. 12), war die Revision der relevanten Bestimmungen im Schweizerischen Strafgesetzbuch über das Strafregister vorgesehen. Diese Bestimmungen traten auf den 1. Januar 2000 in Kraft. Zeitgleich wurde auch die Verordnung über das vollautomatisierte Strafregister in Kraft gesetzt. Wir hatten frühzeitig die Gelegenheit, die Belange des Datenschutzes einzu- bringen. Bei der Beurteilung der Vorlage hatten wir jedoch zu berücksichtigen, dass sich die Verordnung an den neu geschaffenen, auf den 1. Januar 2000 in Kraft getretenen gesetzlichen Bestimmungen des Schweizerischen Strafgesetz- buches zu orientieren hatte. Deren Ziel war nicht eine inhaltliche Neukonzep- tion des Strafregisterrechtes. Vielmehr ging es lediglich darum, der Vorgabe des Datenschutzgesetzes Rechnung zu tragen und eine für das bestehende Strafregi- sterrecht hinreichende Rechtsgrundlage zu schaffen. Das hatte zur Folge, dass wesentliche Belange des Datenschutzes wie Abweichungen beim Institut des Auskunftsrechtes zum Schutz der betroffenen Person in der Verordnung be- rücksichtigt werden konnten, weil sie bereits schon in die Revision des StGB Eingang gefunden haben. Andere Anliegen des Datenschutzes konnten jedoch
Tätigkeitsbericht 1999/2000 des EDSB 15 nicht in die Verordnung aufgenommen werden. Das gilt insbesondere für die Entfernung und nicht nur Löschung von Einträgen im Zusammenhang mit Handlungen, die im Zeitpunkt der Tatbegehung strafbar waren, heute jedoch aufgrund eines Wertewandels in der Gesellschaft nicht mehr unter Strafe ge- stellt sind. Diesbezüglich hoffen wir auf die immer noch laufenden Revisions- arbeiten zum Allgemeinen Teil des StGB. 2.Ausländer- und Asylrecht 2.1.Datenbearbeitung durch die Sektion Bürgerrecht Im Rahmen der Regierungs- und Verwaltungsreform wechselte die Sektion Bürgerrecht am 1. Januar 1999 vom Bundesamt für Polizei (BAP) in das Bundesamt für Ausländer- fragen (BFA). Da die neue Regelung über die Datenbearbeitung im informatisierten Personennachweis-, Aktennachweis- und Verwaltungssystem des Bundesamtes für Poli- zei sich anders als geplant nicht auf die Sektion Bürgerrecht anwenden liess, wurden wir gebeten, uns zu einer möglichen rechtlichen Lösung zu äussern. Mit unserem Vorschlag, Datenschutzbestimmungen zum Bürgerrechtsgesetz zu erarbeiten und den Revision- sentwurf in die Botschaft über die Schaffung und die Anpassung gesetzlicher Grundla- gen für die Bearbeitung von Personendaten aufzunehmen, liess sich das Problem ange- messen lösen. Im Juni 1999 verabschiedete das Parlament mit der Schaffung einer neuen Strafgesetzbestimmung die erforderliche formelle Gesetzesgrundlage für die Datenbearbeitung im informatisierten Personennachweis-, Aktennachweis- und Verwaltungssystem (IPAS) des Bundesamtes für Polizei (BAP). Im Anschluss an die Arbeiten der Regierungs- und Verwaltungsreform wurde die Sektion Bürgerrecht – bislang eine Verwaltungseinheit des BAP – im gleichen Jahr dem Bundesamt für Ausländerfragen (BFA) unterstellt. Der Wechsel bewirkte insbe- sondere, dass die neuen strafrechtlichen Bestimmungen zur Datenbearbeitung im BAP anders als ursprünglich in der Botschaft des Bundesrates vorgesehen, nicht mehr auf die Sektion Bürgerrecht des BFA angewandt werden konnten. Das Generalsekretariat des Eidgenössischen Justiz- und Polizeidepartements trat auf der Suche nach einer rechtlichen Lösung an uns heran. Wir wiesen dar- auf hin, dass die Bestimmung zur Datenbearbeitung im Bürgerrechtsbereich oh- nehin bereits während der Debatten in den Eidgenössischen Räten aus der Ge- setzesgrundlage des IPAS-Systems gestrichen worden war.
Tätigkeitsbericht 1999/2000 des EDSB 16 Um eine juristisch einwandfreie und kurzfristig umsetzbare Lösung zu finden, die ausserdem auch die Bearbeitung besonders schützenswerter Daten ermög- licht, schlugen wir vor, ein spezifisches Kapitel zur Bearbeitung von Personen- daten in das Bürgerrechtsgesetz aufzunehmen. Daraufhin wurden Bestimmun- gen zur Bearbeitung von Personendaten, den Betrieb einer elektronischen Da- tenbank, die Datenbekanntgabe sowie die Auskunft durch ein Abrufverfahren erarbeitet. Zwecks rascher Annahme des Projekts schlugen wir vor, die Gele- genheit der Erstellung einer Botschaft über die Schaffung und die Anpassung gesetzlicher Grundlagen für die Bearbeitung von Personendaten zu ergreifen und die Revision des Bürgerrechtsgesetzes darin aufzunehmen. Das Eidgenössische Justiz- und Polizeidepartement, das BFA wie auch das Bundesamt für Flüchtlinge stimmten unseren Vorschlägen zu. 3.Telekommunikation und Post Telekommunikation 3.1.Das Recht auf Datenschutz im Telekommunikationssektor Viele bekannte Werbeslogans verdeutlichen, dass Telekommunikation in unserer Gesell- schaft ungeachtet ihrer Komplexität zu einem banalen Vorgang geworden ist. Wer banal sagt, sagt jedoch nicht harmlos. Bei der Benutzung von Telefon, Fax oder E-Mail hin- terlassen wir Spuren, die das Risiko von missbräuchlicher Bearbeitung steigern und das Zusammenstellen umfassender Persönlichkeitsprofile erleichtern. Der Fernmeldever- kehr kann damit das Privatleben der Benutzer und die Vertraulichkeit ihrer Beziehun- gen gefährden. Jeder Benutzer muss wissen, dass er über Rechte und Mittel verfügt, um sich zu schützen. Er kann sich in den Datenbearbeitungsprozess einschalten und so be- stimmen, ob, durch wen, inwieweit, zu welchen Zwecken und für welche Dauer Perso- nendaten über ihn beschafft und bearbeitet und an wen sie bekanntgegeben werden dürfen. Angesichts der Globalisierung des Informationsaustausches und der erleichter- ten Kommunikationsmöglichkeiten der aktuellen Technologien muss der Ein- zelne die Definition der Bearbeitungen von Daten über ihn weiterhin aktiv mit- bestimmen. Er muss festlegen bzw. zuweisen, welchen Wert er seinen eigenen Daten beimisst und welche Benutzung durch andere Personen er duldet. So übernimmt er auch in der Definition des Schutzes, den er für sich selbst und in der Ausübung der gesetzlich zugestandenen Rechte anfordern möchte, eine
Tätigkeitsbericht 1999/2000 des EDSB 17 Verantwortung. Neben den verschiedenen Rechten aus dem DSG – vor allem dem Recht auf Auskunft über Datenbearbeitungen, dem Recht auf Untersagung der Bearbeitung, dem Auskunftsrecht, dem Recht auf Berichtigung und dem Recht, vor Gericht aufzutreten, kann der Einzelne mehrere Ansprüche, die sich vor allem aus dem Fernmelderecht ergeben, geltend machen. Einschränkungen dieser Rechte im Fall von Missbrauch oder unerlaubten Handlungen bleiben indessen vorbehalten. Fernmeldegeheimnis Allen Personen steht das Recht auf Geheimhaltung ihres Fernmeldeverkehrs zu. Die Fernmeldedienstanbieter sind gehalten, die erforderlichen Massnahmen zu treffen, um die Vertraulichkeit des Fernmeldeverkehrs zu gewährleisten. Ausserdem haben sie die Benutzer über die Risiken und die Schutzmöglich- keiten aufzuklären. Die Geheimhaltungspflicht erstreckt sich auf alle Personen- daten, die mit Gebrauch von Fernmeldediensten zusammenhängen. Es handelt sich vor allem um Inhalte und Verkehrsdaten (Randdaten). Die im Kundenver- zeichnis des Fernmeldedienstanbieters gespeicherten Daten fallen nicht unter das Fernmeldegeheimnis, insofern sie weder an Inhalte noch an Verkehrsdaten gekoppelt sind. Recht auf Anonymität Die beste Garantie zur Beachtung des Rechtes auf Datenschutz besteht darin, die Beschaffung und Bearbeitung von Personendaten zu vermeiden. Betroffene Personen können sich so schützen, indem sie verhindern, dass Informationen über sie verbreitet werden. Gemäss den Grundsätzen der Verhältnismässigkeit und der Zweckbindung dürfen einzig die unbedingt notwendigen Daten bear- beitet werden. Alle Personen sollten von den Dienstanbietern verlangen können, dass ihre Systeme eine Benutzung der Fernmeldeeinrichtungen erlauben, wel- che den Rückgriff auf Personendaten möglichst gering hält. Dieses Ziel lässt sich mit der Verwendung von Pseudonymen oder der Bereitstellung anonymer Zugangsvorrichtungen zu Fernmeldenetz und –diensten erreichen. Dazu gehört insbesondere die Beibehaltung von Telefonkabinen mit Prepaid-Karten, die Einrichtung von Festtelefoninstallationen und die Benutzung von Mobiltelefo- nen mit solchen Karten (siehe 5. Tätigkeitsbericht 1997/98, S. 31 f.), die Ruf- nummerunterdrückung für Angerufene und Anrufende, das Recht, nicht im Te- lefonverzeichnis zu erscheinen sowie die Möglichkeit, ohne Identifizierung der angerufenen oder anrufenden Nummern detaillierte Rechnungen zu verlangen. Es wäre zu begrüssen, wenn das schweizerische Recht, ähnlich wie das deut- sche, mit einer Bestimmung zur Achtung des Rechts auf Anonymität ergänzt würde.
Tätigkeitsbericht 1999/2000 des EDSB 18 Telefonverzeichnis Das Verzeichnis sollte sich auf die Angaben beschränken, welche zur Identifi- zierung der Personen, die im Telefonverzeichnis stehen möchten, zweckmässig und notwendig sind und welche Verwechslungen mit anderen Personen vermei- den. Sonstige Daten sollten nur auf ausdrücklichen Wunsch der betroffenen Person erfasst werden. Die Entscheidungsfreiheit des Benutzers beschränkt sich nicht auf die Alternative, in einem Verzeichnis zu stehen oder nicht, und auf die Definition der zu veröffentlichenden Daten ; er muss ausserdem je nach Art des vom Fernmeldedienstanbieter vorgeschlagenen Verzeichnisses auswählen kön- nen. Telefonverzeichnisse werden heute nicht nur auf Papier veröffentlicht, sondern sind auch auf elektronischen Trägern erhältlich (CD-ROM, Disketten) bzw. durch Abrufverfahren insbesondere im Internet einsehbar. Daneben er- möglichen die neuen Technologien Suchen nach unterschiedlichen Krite- rien, Invertsuche (Suche über eine Telefonnummer zur Adresse), Verknüp- fen der Verzeichnisse mit anderen Dateien (z.B. mit einem geographischen In- formationssystem) oder Erstellen von Listen. Im Moment reichen die Auswahl- möglichkeiten des Abonnenten nicht aus. Es ist beispielsweise nicht möglich, nur im Papierverzeichnis zu erscheinen und auf die Eintragung im elektroni- schen Verzeichnis zu verzichten. Nur wenn er in keinem Verzeichnis steht, kann er die Invertsuche (Suche über die Rufnummer) oder die Suche über die Adresse verhindern. Auch gegen das Herunterladen von Verzeichnissen und das Veröffentlichen im Internet kann er nicht vorgehen. Abonnenten, welche nicht im Internet oder auf einem elektronischen Träger (z.B. CD-ROM) erscheinen möchten oder welche die Bearbeitung ihrer Daten durch einen Invertsuchdienst ablehnen, sollten (ähnlich wie für das Telemarketing-Verbot) mit dem Zeichen
Tätigkeitsbericht 1999/2000 des EDSB 19 Detaillierte Rechnungsstellung Der Abonnent hat sowohl das Recht auf Erhalt detaillierter wie auch nicht-de- taillierter Rechnungen. Detaillierte Rechnungen sind nur auf Verlangen des Abonnenten zu erstellen. In der Praxis erstellen bestimmte Fernmeldedienstan- bieter auch ohne Wunsch des Abonnenten systematisch detaillierte Rechnun- gen. Detaillierte Rechnungen werfen grundsätzlich keine datenschutzrechtli- chen Probleme auf, wenn der Abonnent, der dies wünscht, als einziger den An- schluss, auf den sich die Rechnung bezieht, benutzt und mithin die entspre- chenden Nummern kennt. Falls jedoch mehrere Personen den Anschluss benut- zen, wird dadurch möglicherweise das Privatleben der angerufenen Personen und der anderen Benutzer beeinträchtigt. Sogar detaillierte Rechnungen für Mobiltelefone geben nicht nur Aufschluss über die angerufenen Nummern, sondern auch über die anrufenden, zumindest wenn der Abonnent einen Teil der Kommunikationskosten zahlt. Ein Abonnent, der eine detaillierte Rechnung er- hält, ist selbst gehalten, das Privatleben der Mitbenutzer seines Anschlusses sowie der Anrufer und Angerufenen zu respektieren. So sollte er die Angaben, die auf seiner Rechnung erscheinen, nur zur Kontrolle seines Telefonkonsums, zur Kostenaufteilung oder zur Überprüfung der Richtigkeit der Rechnung ver- wenden. Wir würden die Wiedereinführung einer detaillierten Rechnungsstel- lung begrüssen, auf der nicht die vollständige angerufene Nummer steht bzw. für die die Benutzer verlangen können, das ihre Nummer nicht erscheint. Die vollständige Nummer sollte nur bei Beanstandungen zu Beweiszwecken ange- geben werden. Rufnummeranzeige Seit mehreren Jahren sind bei Anbietern von Telefondiensten und –geräten Ap- parate erhältlich, die Zugang zum dienstintegrierten digitalen Netz (ISDN) bie- ten. Die Apparate umfassen mehrere Optionen und ermöglichen insbesondere die Anzeige der angerufenen oder anrufenden Nummer (siehe 1. Tätigkeitsbe- richt 1993/94 S. 34f. ; 2. Tätigkeitsbericht 1994/95 S. 32f. ; 4. Tätigkeitsbericht 1996/97 S. 23ff.). Telefonnummern stellen Personendaten dar, die eine Identifi- zierung der betroffenen Person erlauben. Die Rufnummeranzeige bietet zwar zahlreiche Vorteile, kann aber bisweilen die Persönlichkeitsrechte beein- trächtigen. Der Angerufene ist in der Lage, die Nummern zu speichern und bei- spielsweise zu Werbezwecken zu sortieren. Ausserdem könnten Dritte in der Umgebung des Angerufenen die am Apparat angezeigte Nummer sehen, ohne dass dieser das wünscht. Ferner lässt sich der Anruf auch geographisch lokali- sieren. Daher muss sich die betroffene Person schützen und vor allem angeben können, ob sie die Anzeige bzw. sogar die Speicherung ihrer Nummer und ge- gebenenfalls anderer Daten über sie wünscht, wenn sie anruft oder angerufen wird. Dieses Recht muss unentgeltlich und entweder ständig oder fallweise aus- geübt werden können. Ausserdem steht dem Anrufenden das Recht zu, nicht
Tätigkeitsbericht 1999/2000 des EDSB 20 identifizierte Anrufe abzulehnen. Die Fernmeldeunternehmen müssen ihren Abonnenten die Alternativen der ständigen oder der fallweisen Unterdrückung der Rufnummeranzeige sowie die Möglichkeit der Ablehnung nicht identifi- zierter eingehender Anrufe bieten. Ferner haben sie den Abonnenten die prakti- schen Schritte zur Unterdrückung der Rufnummeranzeige und der Ablehnung eines Anrufes zu erklären. Auf dem Telekommunikationsmarkt sind heute be- reits zahlreiche Geräte mit solchen Funktionen erhältlich. Für Notrufe ist die Identifizierung beizubehalten. Der Benutzer hat auch das Privatleben der Mit- benutzer zu achten ; so sollte er namentlich keine Nummern von anrufenden Personen speichern und zu anderen als zu Kommunikationszwecken mit ihnen verwenden. Automatische Anrufumleitung Heute ist es möglich, seinen Telefonapparat auf das Gerät einer Drittperson umleiten zu lassen. Die Umleitung ist für den Abonnenten unproblematisch, sofern die Drittperson benachrichtigt wird und bereit ist, die Anrufe entgegen- zunehmen. Wird der Dritte nicht informiert, so muss er die Umleitung – soweit technisch machbar – abbrechen können. Für Anrufende entstehen etwa Pro- bleme, wenn sie nicht erwarten, mit einer anderen Person als dem angerufenen Abonnenten zu kommunizieren. Erwünscht wäre daher ein akustisches oder vi- suelles Warnsignal bei der Umleitung, damit sie gegebenenfalls auf den Fern- meldeverkehr verzichten können. 3.2.Revision der Verordnung über Fernmeldedienste Im Rahmen der Revision der Verordnung über Fernmeldedienste wurden verschiedene Bestimmungen angepasst, um den Auflagen des Datenschutzes besser Rechnung zu tra- gen. Es handelt sich um die Veröffentlichung von Notrufnummern, deren Lokalisierung in jedem Fall garantiert wird, um die nicht-detaillierte Anzeige bestimmter eingehender Anrufe und um die kostenlose Unterdrückung der Identifizierung der eingehenden Ruf- nummer. Das Bundesamt für Kommunikation (BAKOM) ersuchte uns im Rahmen der Revision der Verordnung über Fernmeldedienste (FDV) um eine Stellung- nahme. Das BAKOM bezog sich vor allem auf Massnahmen zum Schutz der innerhalb oder ausserhalb von Gebäuden verlegten Anschlüsse, auf die neue Regelung betreffend die Notrufe, auf die Telefonverzeichnisse, auf Adressierungselemente eingehender Anrufe, welche auf den detaillierten Rechnungen erscheinen, auf die Unterdrückung der Erkennung der anrufenden Nummer und schliesslich auf die offizielle Telekommunikationsstatistik (siehe
Tätigkeitsbericht 1999/2000 des EDSB 21 auch S. 16 – Recht auf Datenschutz im Telekommunikationssektor). Zu den Fragen, welche unmittelbar die Benutzer von Fernmeldediensten betreffen, vertraten wir folgende Standpunkte : Notrufe Die Dienste der Notrufnummern (112, 117, 118, 143, 144 und 147) müssen von jedem Anschluss aus zugänglich sein. In der Mobiltelefonie muss nur der Zu- gang zur Notrufnummer 112 gewährleistet werden. Für die Notrufnummern 112, 117, 118 und 144 muss die Lokalisierung der Anrufe in jedem Fall on-line gewährleistet werden (selbst wenn die Person keine Eintragung ins Verzeichnis wünscht oder die Anzeige der anrufenden Linie unterdrückt hat). Das BAKOM kann auf Verlangen andere Nummern bezeichnen, welche ausschliesslich für Notfalldienste dienen (Polizei, Feuerwehr, Sanitäts- und Rettungsdienst) und für welche die Lokalisierung der Anrufe sichergestellt werden muss. Wir unter- stützten diesen Vorschlag, forderten aber, diese Nummern zu veröffentlichen. Bis zum 1. Mai 2000 war die Regelung noch lückenhaft. Nur die Polizei und die Feuerwehr konnten selbst andere Notrufnummern bestimmen. Telefonverzeichnisse Zur Auswahl des Abonnenten gehört nicht nur die Alternative, im Telefonver- zeichnis zu erscheinen oder nicht, und die Angabe der Daten (mit einigen Ein- schränkungen), die dort stehen sollen. Heutzutage sind Verzeichnisse neben der Papierform auf elektronischen Trägern wie CD-ROM oder im Internet verfüg- bar. Es ist möglich, Suchaktionen nach verschiedenen Kriterien (Kanton, Ort, Strasse, Teil des Namens oder Vornamens usw.) oder durch Invertsuchen (Na- men und Adresse über eine beliebige, sogar unvollständige Telefonnummer er- halten) zu starten. Ausserdem können die Verzeichnisse mit anderen Daten- sammlungen, z.B. Marketingdateien oder wirtschaftlichen Auskünften, gekop- pelt werden. Wir haben vorgeschlagen, in die FDV (wie in den französischen und deutschen Gesetzen) die Rechte des Abonnenten einzuführen, nämlich nicht in einem elektronischem Träger wie CD-ROM Verzeichnis, in einem On- line-Verzeichnis oder in einem Invertsuche-Verzeichnis zu erscheinen. Der Bundesrat hat unseren Vorschlag nicht befolgt. Detaillierte Rechnungsstellung: Angaben zu eingehenden Anrufen Die Abonnenten müssen immer häufiger Rechnungen für eingehende Anrufe begleichen, so z.B. die Inhaber einer Gratisnummer (0800) oder Abonnenten eines Mobiltelefons, wenn sie im Ausland angerufen werden. Zwecks Gewähr- leistung der Transparenz der Rechnung sah der Revisionsentwurf vor, dass der Abonnent von seinem Dienstleistungsanbieter die Angabe der Adressierungselemente und der anrufenden Anschlüsse verlangen kann,
Tätigkeitsbericht 1999/2000 des EDSB 22 sogar von Personen, die nicht im Verzeichnis erscheinen oder die eine Ruf- nummerunterdrückung beantragt haben. Diese Praxis verstösst gegen das Recht auf persönliche Freiheit und individuelle Selbstbestimmung und läuft ausser- dem dem Europarecht sowie den Empfehlungen des Europarates zuwider. Da- nach sind das Privatleben der Mitbenutzer und Teilnehmer bei der Erstellung einer detaillierten Rechnung zu berücksichtigen. Das Interesse des Abonnenten, die zur Bezahlung der Rechnung notwendigen Daten zu erfahren, kollidiert mit dem legitimen Anspruch des Fernmeldeverkehrsteilnehmers auf Schutz seines Privatlebens. Das BAKOM hat indessen das Interesse des Abonnenten jenem des Teilnehmers übergeordnet und aus diesem Grund die uneingeschränkte An- zeige der Telefonnummern eingehender Anrufe beibehalten. Wir haben für Per- sonen, die nicht im Verzeichnis stehen, welche die Erkennung der Linie unter- drückt oder die Bekanntgabe der Adressierungselemente formell verweigert ha- ben, eine nicht-detaillierte Anzeige vorgeschlagen (Anzeige der Anschlussart und der um mindestens die vier letzten Zahlen gekürzten Nummer). Diese Lö- sung berücksichtigt das Interesse des Abonnenten (er kann feststellen, dass er einen Anruf erhalten hat, dessen Kosten er ganz oder teilweise bezahlen muss), ohne die Rechte des Teilnehmers zu beeinträchtigen. Der Bundesrat hat sich der Lösung des EDSB angeschlossen. Auf Anfrage des Abonnenten erscheinen – ab
Mai 2000 - die Adressierungselemente der anrufenden Anschlüsse nicht de- tailliert auf den Rechnungen. Unterdrückung der Erkennung der anrufenden Linie (CLIR-Dienst) Seit dem 1. Mai 2000 sind die Fernmeldedienstanbieter verpflichtet, ihren Kun- den eine einfache und kostenfreie Möglichkeit zur ständigen oder fallweisen Unterdrückung der Anzeige zur Identifizierung ihrer Linie auf dem Gerät des angerufenen Abonnenten zu bieten. Wir fordern schon seit vielen Jahren einen unentgeltlichen CLIR-Dienst. Die Bestimmung der FDV entspricht nun endlich den Vorschriften zum Persönlichkeits- und Datenschutz sowie dem Europarecht (siehe auch S. 23 über den Entscheid der Eidg. Datenschutzkommission). 3.3.Verwechslung zweier Kunden beim Versand der detaillierten Rechnung Fernmelde-Randdaten, die auf detaillierten Rechnungen erscheinen, unterstehen der Geheimhaltungspflicht. Der Versand solcher Daten an eine Drittperson verstösst nicht nur gegen die Datenschutzvorschriften sondern auch gegen das Fernmeldegeheimnis. Mehrere Personen wandten sich an unser Sekretariat und teilten uns mit, dass ihr Fernmeldedienstanbieter ihnen detaillierte Rechnungen zugestellt hatte, die - bisweilen gleichnamige - Drittpersonen betrafen.
Tätigkeitsbericht 1999/2000 des EDSB 23 Wir informierten die fraglichen Anbieter, dass Angaben, die auf detaillierten Rechnungen erscheinen (angerufene Nummern, Gesprächsbeginn und –dauer, Betrag usw.) Fernmelde-Randdaten darstellen und damit der Geheimhaltungs- pflicht (Fernmeldegeheimnis) unterstehen. So ist es einem Fernmeldedienstan- bieter nicht gestattet, einem Dritten Auskünfte über den Fernmeldeverkehr eines Kunden zu liefern ; ebensowenig darf er jemandem ermöglichen, solche Aus- künfte Dritten bekanntzugeben. Im Datenschutzbereich muss der Inhaber von Datensammlungen alle geeigneten technischen und organisatorischen Mass- nahmen treffen, um die Personendaten gegen unbefugte Bearbeitungen zu schützen (Bekanntgabe von Personendaten an unbefugte Dritte). Fehler können immer passieren und sind grundsätzlich entschuldbar. In den fraglichen Fällen sandten die Anbieter trotz mehrerer Meldungen der betroffenen Kunden weiter- hin detaillierte Rechnungen an die falschen Personen. Wir machten diese Fern- meldedienstanbieter darauf aufmerksam, dass sie zum Einen gegen die allge- meinen Grundsätze des Datenschutzes verstiessen und sich zum Anderen den für Verletzung des Post- und Fernmeldegeheimnisses vorgesehenen strafrechtli- chen Sanktionen aussetzten. 3.4.Urteil der Eidgenössischen Datenschutzkommission in Sachen Gebührenerhebung bei der Rufnummerunterdrückung Die Kontroverse zur Gebührenerhebung für die Unterdrückung der Identifizierung an- rufender Linien wurde endlich geregelt. Die Eidgenössische Datenschutzkommission stellte in ihrem Urteil vom 12. März 1999 fest, dass das Eidgenössische Verkehrs- und Energiewirtschaftsdepartement (gegenwärtig Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation) sowie die Telecom PTT (gegenwärtig Swisscom AG) bis zum 31. Dezember 1997 unter Verletzung des geltenden Rechts für die Einrich- tung der Funktion Unterdrückung der Identifizierung der anrufenden Linie Gebühren erhoben hatten. Seit dem 1. Mai 2000 ist dieser Dienst kostenlos. Das Thema Anzeige (CLIP-Dienst) und vor allem Unterdrückung der Anzeige der anrufenden Nummer (CLIR-Dienst) beschäftigt uns seit mehreren Jahren. Erst im Jahr 2000 wurde das vom Datenschutzbeauftragten verfolgte Ziel er- reicht, nämlich den Abonnenten die Möglichkeit zu geben, die Anzeige der Identifizierung der anrufenden Nummer mit einfachen und kostenlosen Mitteln fallweise oder ständig zu unterdrücken. Die Eidgenössische Datenschutzkommission (EDSK) betonte in ihrem Urteil vom 12. März 1999, dass der Bundesrat in Persönlichkeitsschutzfragen die Be- rücksichtigung des ausländischen und europäischen Rechts akzeptiert hatte. Im Fernmeldesektor sehen z.B. europäische und deutsche Gesetze die Unentgelt- lichkeit des CLIR-Dienstes vor. Die EDSK merkt an, dass es sich beim Recht
Tätigkeitsbericht 1999/2000 des EDSB 24 auf Unterdrückung der Identifizierung der anrufenden Linie um ein Persönlich- keitsschutzrecht im Datenverarbeitungsbereich handelt. Eine Gebührenerhe- bung würde womöglich die Ausübung dieses Rechts verhindern. Die EDSK unterstreicht, dass die in den DSG-Bestimmungen anerkannten Rechte (Recht auf Einsprache und auf Sperrung der Bekanntgabe von durch Bundesorgane be- arbeiteten Personendaten) unentgeltlich sind. Die EDSK stellt zudem fest, dass es vor dem Inkrafttreten des neuen Fernmelderechtes keine Gesetzesgrundlage für eine Gebührenerhebung gab und dass Personen, welche die Kontrolle ihrer Daten behalten wollten, in die Tasche greifen mussten, da automatisch der CLIP-Dienst eingerichtet wurde. Die EDSK überprüfte die Verordnungsbe- stimmung über Fernmeldedienste, welche die Gebührenpflicht für den CLIR- Dienst vorsieht, nicht auf ihre Verfassungs- und Gesetzmässigkeit. Diese Be- stimmung wurde überarbeitet. Seit dem 1. Mai 2000 ist der CLIR-Dienst unent- geltlich. Mit Blick auf das Persönlichkeitsrecht und auf die Grundrechte ist zu begrüssen, dass die angerufene und die anrufende Person die gleiche Möglich- keit der Verwendung der CLIP- und der CLIR-Dienste haben. Post 3.5.Die Aktualisierung von Postadressen mit Mat[CH]move Wer umzieht möchte seine Briefe und Pakete möglichst rasch und problemlos auch am neuen Wohnort empfangen. Mit dem Nachsendeauftrag bietet die schweizerische Post ihren Kunden die Möglichkeit, sich die an die bisherige Adresse gerichtete Post nach- senden zu lassen. Die damit verbundenen Datenbearbeitungen waren in mehreren Punk- ten nicht datenschutzkonform und führten zur Verärgerung bei den Kunden. Die Postsendungen über längere Zeit via die alte Adresse nachzusenden, ist ineffizient und teuer. Die Absender sind daher möglichst rasch über die neue Adresse zu informieren. Dies kann der Postkunde einerseits selber tun oder die Versender lassen sich die neuen Adressen von der Post geben. Zu diesem Zweck bietet die Post zusammen mit ihrer Beteiligungsgesellschaft Data Center Luzern AG (DCL) die Dienstleistung Mat[CH]move an, die es Firmen ermög- licht, ihre Adressbestände periodisch zu aktualisieren. Auch wenn die Adressaktualisierung nicht als Datenbekanntgabe an Dritte an- gesehen wird, stellt sie zweifellos ein Bearbeiten von Personendaten dar, das die betroffene Person jederzeit untersagen kann. Die Post gilt seit Beginn des Jahres 1998 für das Bearbeiten von Personendaten als private Person im Sinne des Datenschutzgesetzes und benötigt dafür nun Rechtfertigungsgründe. Für die hier zur Diskussion stehenden Bearbeitungen kommt lediglich die Einwilligung
Tätigkeitsbericht 1999/2000 des EDSB 25 der betroffenen Person in Frage. Die Post muss also ihre Kunden klar und deut- lich informieren, welche Bearbeitungen zu welchem Zweck mit den erhobenen Daten vorgenommen werden. Gleichzeitig sind sie auf die Untersagungsmög- lichkeit hinzuweisen. Untersagt der Kunde die Aktualisierung für Dritte, ist le- diglich eine postinterne Bearbeitung seiner Daten möglich, die allerdings auch von einer Drittfirma im Auftrag der Post wahrgenommen werden darf. Die Post bleibt aber als Inhaberin der Datensammlung für die Einhaltung der Daten- schutzbestimmungen voll verantwortlich. Mat[CH]move wird auch als Online-Dienstleistung im Internet angeboten. Zu Demonstrationszwecken waren mehrere Wochen echte Adressen weltweit ab- rufbar, ohne dass eine bisherige Adresse hätte angegeben werden müssen. Dies war sogar dann der Fall, wenn die betroffene Person eine Weitergabe schriftlich untersagt hatte. Eine Publikation von Daten im Internet stellt zusätzliche Anfor- derungen an die Information der betroffenen Personen. Für eine korrekte Ein- willigung müssen die betroffenen Personen über die besonderen Risiken einer Internetpublikation aufgeklärt werden. Während unserer Abklärungen erfuhren wir zudem, dass die Post/DCL ihren gesamten Adressbestand (Umzugsadressen) an ca. zehn Unterlieferanten wei- tergibt, die damit ihrerseits Aktualisierungsdienstleistungen anbieten. Diese Datenweitergaben waren den Postkunden in keiner Weise transparent und ver- stiessen somit ebenfalls gegen das Datenschutzgesetz. Die Datenweitergabe wurde mit einer Intervention der Wettbewerbskommission (WEKO) begründet. Es handelte sich lediglich um eine Vorabklärung der WEKO, die keinerlei zwingende Verpflichtung für die Post enthielt, Dritte mit Personendaten zu be- liefern. Auch wenn aus wettbewerbsrechtlichen Gründen eine solche Weiter- gabe gefordert wäre, dürften Daten von Personen, die eine Weitergabe untersagt haben, nicht herausgegeben werden, sondern nur für postinterne Zwecke bear- beitet werden. Die Post hat uns zugesichert, dass die mit den Nachsendeformularen erhobenen Daten nicht mehr an Dritte bekanntgegeben werden. Aktualisierungen für Dritte werden nur noch dann durchgeführt, wenn eine vollständige bisherige Adresse angegeben werden kann. Der Post-Kunde muss allerdings auf verständliche Weise über die Aktualisierung informiert werden, und kann diese untersagen. Wir haben der Post einen Vorschlag für eine Einwilligungsklausel auf dem Formular unterbreitet. Die Post hat unseren Vorschlag abgelehnt und in Zu- sammenarbeit mit dem UVEK einen Entwurf für eine gesetzliche Bestimmung erarbeitet, der sie zu einer Adressaktualisierung für Dritte ermächtigen soll. Datenschutzprobleme ergaben sich auch mit zwei weiteren Dienstleistungen und den gleichzeitig mittels neuen Formularen erhobenen Daten. Im Zusam- menhang mit dem «Vorübergehenden Nachsendeauftrag» sowie dem «Auftrag
Tätigkeitsbericht 1999/2000 des EDSB 26 Post zurückbehalten» werden unseres Erachtens wesentlich mehr Daten erhoben (Jahrgang, Geschlecht, Beruf etc.) als dies für die Erbringung der Dienstleistung nötig wäre.
INTERNET und datenschutzfreundliche Technologien 4.1.Beachtung des Verhältnismässigkeitsprinzips bei Demomodus im In- ternet Anbieter von kostenpflichtigen personenbezogenen Information im Internet möchten den Interessenten ihre Angebote möglichst realistisch demonstrieren, um sie als Kunden gewinnen zu können. Dabei schiessen sie zuweilen über das Ziel hinaus und verletzen die Prinzipien der Verhältnismässigkeit, teilweise auch der Datenrichtigkeit. Das Internet stellt eine besonders attraktive Plattform zur Vermarktung, na- mentlich auch von Personendaten, dar. Nicht immer werden dabei die daten- schutzrechtlichen Rahmenbedingungen eingehalten. Private Personen, die Per- sonendaten im Internet zum Abruf bereitstellen, benötigen dafür einen Recht- fertigungsgrund, zumeist in Form einer Einwilligung der betroffenen Person, nachdem diese umfassend über die Risiken unterrichtet worden ist. Bei mehreren Dienstleistungen im Bereich Kreditschutz sowie Adress- aktualisierung waren wir gezwungen zu intervenieren, da bereits im jeweiligen Demomodus Personendaten unnötigerweise zugänglich gemacht wurden. Der Demomodus eines Kreditschutzsystems darf weder als Adressverzeichnis benutzbar sein noch sonst wie Personendaten offenbaren. Insbesondere darf nicht ersichtlich sein, ob eine bestimmte, vom Internet-Benutzer vorgegebene Person in einem Kreditschutzsystem figuriert. Dies stünde im Widerspruch zum Verhältnismässigkeitsprinzip, und zwar auch dann, wenn aus der Tatsache, dass eine Person im Kreditschutzsystem figuriert, nicht darauf geschlossen werden kann, dass eine mangelnde Kreditwürdigkeit vorliegt. Daher sind im Demo- modus ausschliesslich fiktive Daten zu verwenden. Erst der (zahlende) Kunde, der zur Prüfung der Kreditwürdigkeit eines potenziellen Vertragspartners eine Kreditauskunft wünscht, darf Zugriff auf die Personendaten haben. Analoges gilt für den Demomodus für Dienstleistungen im Bereich Adressak- tualisierung. Um die Leistungsfähigkeit zu demonstrieren, genügen auch hier fiktive Daten. Der Kunde darf nur dann eine aktualisierte Adresse erhalten, wenn er eine frühere Adresse angeben kann.
Tätigkeitsbericht 1999/2000 des EDSB 27 Wir mussten leider feststellen, dass sogar dann Personendaten in einem Demo- modus via Internet weltweit frei abrufbar waren, wenn die betroffenen Personen eine Weitergabe an Dritte ausdrücklich und schriftlich untersagt hatten. Ein weiteres Datenschutzproblem tauchte dadurch auf, dass in einem Demo- modus pro betroffene Person unter Umständen mehrere Postadressen aufgeführt waren. Neben der aktuellen Wohnadresse wurden verschiedene frühere Adressen genannt. Für den Benutzer, der sich die Dienstleistung nur demon- strieren liess, war nicht ersichtlich, welche Adresse die aktuelle war, weshalb der Grundsatz der Datenrichtigkeit verletzt wurde. Wie oben erwähnt, dürfen im Demomodus jedoch ohnehin keinerlei (echten) Personendaten verwendet wer- den. Die kritisierten Angebote wurden unterdessen von den Betreibern angepasst. Ohne Zweifel bestehen jedoch weitere ähnliche Angebote, die nicht daten- schutzkonform sind. 4.2.Unautorisierter Zugang zu Datenbanken via Internet Die zunehmende Vernetzung bringt es mit sich, dass Irrtümer und Nachlässigkeiten von Systembetreibern immer häufiger dazu führen, dass Datenbanken, die unter keinen Umständen via Internet bzw. nur für bestimmte autorisierte Benutzer abrufbar sein sollten, allgemein zugänglich werden. Ende des vergangenen Jahres haben wir von einem Softwareentwickler den Hinweis bekommen und uns auch selbst davon überzeugt, dass es möglich ist, via Internet unautorisiert auf mehrere Datenbanken vom Typ Microsoft SQL Server zuzugreifen. Nicht nur das Lesen, sondern auch das Ändern und Löschen jeglicher Datenfelder waren möglich. Die Sicherheitslücke entstand durch die Nachlässigkeit der Datenbankbetreiber, das vom Hersteller vordefinierte Pass- wort des Administratorenaccounts nicht zu ändern. In kurzer Zeit wurden zu- fällig mehrere Dutzend Datenbanken gefunden, die durch die genannte Nach- lässigkeit zugänglich und manipulierbar waren. Neben harmlosen Daten fanden sich in den Datenbanken teilweise sehr heikle Daten wie z.B. Passwortlisten oder Kreditkartennummern. Auch wenn es einem durchschnittlichen Internet-Benutzer nicht ohne weiteres möglich war, die erwähnte Sicherheitslücke für einen unbefugten Datenbank- zugriff zu nutzen, erachteten wir die Situation als gravierend. Wir haben daher in einer Pressemeldung die Betreiber der besagten Datenbank aufgerufen, das
Tätigkeitsbericht 1999/2000 des EDSB 28 Passwort des vom Hersteller vorgegebenen Administratorenaccounts umgehend zu ändern. In letzter Zeit sind wir zudem auf mehrere weitere Fälle gestossen, bei denen via Internet auf interne Daten zugegriffen werden konnte. Dabei genügte es, die Internetadresse (URL) zu wissen, um sich direkt mit Hilfe des Browsers Zugang zu Daten zu verschaffen. Auch hier waren heikle Daten, wie z.B. Zahlungsin- formationen oder persönliche Terminkalender betroffen. Wir haben jeweils die betroffen Firmen informiert, damit sie die Sicherheit wiederherstellen konnten. 5.Datenschutz und e-Commerce 5.1.Schlüsselelemente für die Entwicklung des elektronischen Geschäftsverkehrs Wir weisen nachfolgend auf Schlüsselelemente hin, die für die Entwicklung des elektro- nischen Geschäftsverkehrs von ausschlaggebender Bedeutung sind: -E-commerce ist «one-to-one-bussiness» d.h. es stützt sich ausschliesslich auf den persönlichen Kontakt. Deshalb wird der Konsument zurückhaltend reagie- ren, wenn er ohne vertrauensbildende Massnahmen mit viel Werbung und In- formationen überflutet wird. Viele Unternehmen erstellen bereits jetzt Daten- banken mit Personendaten, um ihr Angebot zu personifizieren. Ohne entspre- chende Information der betroffenen Personen wird dadurch das Vertrauen der Konsumenten weiterhin geschwächt.
Tätigkeitsbericht 1999/2000 des EDSB 31 Schliesslich ist die Erklärung auf der Website so zu plazieren, dass sie für den Benutzer leicht zugänglich ist. Siehe auch S. 95 OECD Generator für Datenschutz Mustererklärungen und Richtlinien des Europarates über den Schutz der Privatsphäre im Internet (www.coe.fr/dataprotection). 6.Personalwesen Bundesverwaltung 6.1.Videoüberwachung am Arbeitsplatz: Begriff der Verhaltensüber- wachung Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeits- platz überwachen sollen, dürfen nicht eingesetzt werden. Auch unkorrektes oder gar widerrechtliches Verhalten darf nicht mit technischen Mitteln durch den Arbeitgeber kontrolliert werden. Für die Beweiserhebung zur Verfolgung einer Straftat ist die Straf- justizbehörde zuständig. Wir wurden mit der Frage konfrontiert, ob die Videoüberwachungsanlage eines Briefzentrums der Post zulässig sei oder nicht. Der Augenschein vor Ort hat er- geben, dass die Überwachungsanlage aus mehreren Videokameras besteht, die sowohl den Handsortierbereich als auch den Lastwageneingang und die ent- sprechende Eingangshalle überwachen. Die Videokameras beim Lastwagenein- gang und bei der Eingangshalle überwachen die Ein- und Ausgänge von Fahr- zeugen und Personen sowie den Betrieb in der Eingangshalle. Die Video- kameras im Handsortierbereich überwachen die Angestellten einerseits im Be- reich der Hand- und Automatiksortierung der Briefe, andererseits bei den Lift- und Toiletteneingängen. Die Aufnahmen des Handsortierbereiches und der Lift- und Toiletteneingänge werden ins Büro der Sicherheitsbeauftragten geleitet, wo sie permanent (Tag und Nacht) auf Kassetten aufgenommen werden. Es sitzt grundsätzlich niemand regelmässig vor dem Bildschirm und die Aufnahmen werden nur sporadisch live verfolgt. Die Aufnahmen werden während einer Pe- riode von ungefähr eineinhalb Monaten aufbewahrt, dann wieder überspielt, sofern keine Diebstahlsfälle zu rekonstruieren bzw. entsprechende Verdachts- momente erhärtet sind. Die betroffenen Personen sind durch ein Informations- schreiben von 1996 am Anschlagsbrett des Briefzentrums über den Einsatz und den Zweck des Videoüberwachungssystems informiert worden. Später hinzuge- kommene Arbeitnehmer sind mündlich, meistens durch ihre eigenen Kollegen, über das System mehr oder weniger detailliert informiert worden.
Tätigkeitsbericht 1999/2000 des EDSB 32 Zweck der Videoüberwachung im Briefzentrum ist die Bekämpfung von soge- nannten Insider-Delikten (hauptsächlich Diebstähle) und Verluste. Art. 26 der Arbeitsverordnung 3 enthält ein Überwachungsverbot bezüglich des Verhaltens. Somit darf auch unerwünschtes oder gar widerrechtliches Verhalten nicht mit technischen Mitteln kontrolliert werden. Der Betrieb muss andere Wege wäh- len, um sich dagegen zu schützen. Die Richtlinien der Internationalen Arbeits- organisation in Genf sehen ebenfalls vor, dass technische und organisatorische Massnahmen nicht zur Verhaltens- und Bewegungsüberwachung der Arbeit- nehmer eingesetzt werden. Während Leistungs- und Sicherheitsüberwachungen zulässig sind, ist die Verhaltensüberwachung sowohl im Schweizer Recht als auch nach internationalem Verständnis ausdrücklich verboten. Im Unterschied zu den internationalen Richtlinien, in welchen meistens von ständiger Überwa- chung die Rede ist, ist das Schweizer Recht insofern strenger, als von Verhal- tensüberwachung im Sinne einer nichtständigen Verhaltenskontrolle ausgegan- gen wird. Die Verhaltens- von der Leistungsüberwachung hängen oft stark von- einander ab, und eine präzise Abgrenzung zwischen Leistungs-, Sicherheits- oder Verhaltensüberwachung ist in vielen Fällen nur schwer oder gar nicht möglich (Beispiel: Ein detailliertes Erfassen der Anschläge mit genauen Anga- ben der zeitlichen Verteilung über den Tag würde auch Rückschlüsse auf das Verhalten ermöglichen). Dennoch ist in der vorliegenden Angelegenheit weder von Leistungs- noch von Sicherheitsüberwachung die Rede. Eine Leistungsüberwachung ist aufgrund der fehlenden systematischen Aus- wertung der Aufnahmen durch die Führung des Briefzentrums auszuschliessen. Von Sicherheitsüberwachung kann lediglich im Rahmen der Kontrolle der Pro- duktionssteuerung oder der Kontrolle gegenüber Dritten (bspw. Personen, die von aussen kommen) die Rede sein. Aufgrund der einschlägigen Bestimmungen und deren strikten Auslegung und Anwendung gilt eine Diebstahlsüberwachung seitens des Arbeitgebers gegenüber eigenen Angestellten nicht als zulässige Si- cherheits-, sondern als unzulässige Verhaltensüberwachung. Dies ist nicht zu- letzt darauf zurückzuführen, dass die Anordnung von Beweiserhebungen und - sicherungen (etwa von Videoüberwachungen) aufgrund der strafrechtlichen Relevanz eines Diebstahls und der Schärfe und Gefährlichkeit der Verhaltens- überwachung für die Persönlichkeit nicht Aufgabe des Arbeitgebers, sondern der Strafjustiz ist. Der Arbeitgeber darf ausnahmsweise selber Beweise durch Videoüberwachungen erheben bzw. sichern, wenn das Warten auf die Interven- tion der zuständigen Behörde die konkrete und ernste Gefahr des Verlustes oder der Zerstörung eines Beweismittels in sich birgt. Er bleibt in einem solchen Fall gehalten, die zuständige Behörde nachträglich einzuschalten. Ausserdem muss ein konkreter Verdacht einer Straftat gegen eine bestimmte Person vorliegen. Wenn keine Gefahr des Beweisverlustes oder –zerstörung besteht, können sol- che Beweiserhebungen durch den Arbeitgeber nicht nur als unzulässige Be- weismittel im Rahmen des Strafverfahrens betrachtet werden, sondern auch zi- vil- wie auch strafrechtliche Folgen nach sich ziehen.
Tätigkeitsbericht 1999/2000 des EDSB 33 Die Videoüberwachung im Briefzentrum betrifft gleichzeitig nicht einzelne, sondern mehrere (zum grössten Teil unschuldige) Personen. Letztere werden nicht aufgrund eines konkreten Verdachtes, sondern präventiv und ohne vorhe- rige Einschaltung der zuständigen Behörde überwacht. Erschwerend kommt hinzu, dass die Überwachung nicht zeitlich beschränkt ist, sondern für minde- stens ein Teil der Angestellten während der gesamten Arbeitszeit andauert. Ge- gen das fragliche Videoüberwachungssystem spricht auch der Umstand, dass nach seinem Einsatz die Zahl der gemeldeten Diebstahlsfälle statistisch nicht abgenommen, sondern sogar zugenommen hat. Dem System ist demzufolge auch ein effizienter Abschreckungseffekt abzusprechen. Dies auch darum, weil hinter dem Bildschirm in der Tat kein Mensch regelmässig sitzt. Daher ist die Zweckmässigkeit der Videoüberwachungsanlage auch fragwürdig. Gemäss Datenschutzgesetz dürfen Personendaten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Dies schliesst eine Datenbeschaffung auf Vorrat aus. Fragwürdig ist aber die gesamte Überwachungspolitik im Briefzentrum, da in anderen «sensiblen» Bereichen des Gebäudes (bspw. in der Paket-Abteilung) gar keine Überwachung vorhanden ist. Die Videoüberwachungsanlage scheitert aber auch an ihrer Verhältnismässigkeit. Nach diesem Grundsatz darf der Ar- beitgeber Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eig- nung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsver- trages erforderlich sind. Wie wir aufgrund der Diebstahlsstatistik feststellen durften, hat das Überwachungssystem weder einen Abschreckungseffekt ge- zeigt, noch konnte es zur Aufdeckung von Diebstahlsfällen je erfolgreich einge- setzt werden. Nach Angaben der betroffenen Personen verursacht die ständige Überwachung im Handsortierbereich einen psychologischen Druck, welcher nicht zuletzt wegen der mangelnden Information über Sinn und Zweck des Überwachungssystems entsteht und dem Sinn der Arbeitsverordnung 3, nämlich der Gesundheitsvorsorge und dem Persönlichkeitsschutz, widerspricht. Nach dem Prinzip von Treu und Glauben müssen die betroffenen Personen über den Einsatz von Kameras informiert werden. Dies bedeutet nicht nur, dass die Vi- deokameras so angebracht sein müssen, dass dies für die betroffenen Personen offensichtlich erkennbar ist, sondern auch dass sie über Sinn und Zweck des Überwachungssystems ausdrücklich und schriftlich (etwa anlässlich der An- stellung durch eine Klausel im Arbeitsvertrag) informiert werden. Diese Ausführungen gelten auch für die Überwachung der Lift- und Toiletten- eingänge, welche gewissermaßen nicht gesondert, sondern als integrierender Bestandteil eines einzigen Überwachungssystems zu verstehen sind. Damit wird eine umfassende Verhaltensüberwachung gewährleistet, indem die betroffenen Personen nicht nur während der eigentlichen Arbeit, sondern auch während un- produktiven Zeiten, wie bspw. Ein- und Austritte zu/aus den Toiletten, über- wacht werden. Die Überwachung der Lifteingänge betrifft nicht nur die Ange- stellten des Handsortierbereiches, sondern auch die Ein- und Ausgänge von an- deren Angestellten des Postgebäudes, welche auf anderen Stockwerken arbei-
Tätigkeitsbericht 1999/2000 des EDSB 34 ten. Auch im letzten Fall liegt eine Verhaltensüberwachung im Sinne der Ar- beitsverordnung 3 vor. Die fragliche Videoüberwachung im Handsortierbereich sowie bei den Lift- und Toiletteneingängen stellt somit eine Verletzung der Persönlichkeit einer grösseren Anzahl von Personen dar. Auch mit der aus- drücklichen Einwilligung der betroffenen Angestellten für den Einsatz eines Videoüberwachungssystems wäre es nicht möglich, von den zwingenden Vor- gaben des obligationenrechtlichen Persönlichkeitsschutzes abzuweichen. Die Videoüberwachung beim Lastwageneingang und bei der Eingangshalle hat hingegen die Kontrolle der Ein- und Ausgänge von Fahrzeugen und Personen beim Lastwageneingang sowie den Betrieb in der Eingangshalle zum Ziel. Die Sicherheitskontrolle gegen aussen (unberechtigte Eintritte) ist, im Gegenteil zur Verhaltensüberwachung der Arbeitnehmer, gestattet, sofern die eigenen Ange- stellten nicht oder höchstens ausnahmsweise erfasst werden. Aufgrund dieser Rechtslage haben wir das Briefzentrum ersucht, das Video- überwachungssystem im Handsortierbereich sowie bei den Lift- und Toiletten- eingängen zu entfernen und die interne Sicherheit mit anderen Massnahmen, etwa durch verschärfte Präsenz von Vorgesetzten bzw. Sicherheitsbeauftragten, zu gewährleisten. 6.2.Beamtengesetzgebung und BV-PLUS Bis heute sind die datenschutzrechtlichen Anforderungen an die gesetzliche Grundlage für die Bearbeitung der Daten des Bundespersonals nicht umgesetzt. Auch ist der for- melle Entscheid des Finanzdepartementes über die Zuständigkeitsverteilung zwischen dem Eidg. Personalamt und den restlichen Personaldiensten der Bundesverwaltung nicht gefällt worden. Wie wir bereits im letzten Tätigkeitsbericht (6. Tätigkeitsbericht 1998/99, S. 62) im Zusammenhang mit der Schaffung des neuen Bundespersonalgesetzes fest- gehalten haben, sind die datenschutzrechtlichen Anforderungen an die gesetzliche Grundlage für die Bearbeitung der Daten des Bundespersonals nicht genügend umgesetzt worden. Im Rahmen des Mitberichtsverfahrens hat man mit dem Finanzdepartement im Nachhinein eine Kompromisslösung erarbeitet. Diese Kompromisslösung hat die Mindestanforderungen einer formell- gesetzlichen Grundlage für die Bearbeitung besonders schützenswerter Perso- nendaten vorgesehen, insb. die Kategorien der bearbeiteten, besonders schützenswerten Personendaten des Bundespersonals, das Abrufverfahren so- wie die Datenbekanntgabe an Dritte. Die Bearbeitung und Bekanntgabe der Ge- sundheitsdaten des Bundespersonals wurde in einer gesonderten Bestimmung auch geregelt. Man hat sich dahingehend geeinigt, dass diese Kompromisslö-
Tätigkeitsbericht 1999/2000 des EDSB 35 sung nicht im Rahmen der Anpassung des Beamtengesetzes an das Daten- schutzgesetz gemäss Art. 38 DSG, sondern im Rahmen der Schaffung des neuen Bundespersonalgesetzes berücksichtigt werden soll. Dies ist jedoch bis heute ausgeblieben. Auch der formelle Entscheid des Finanzdepartements bezüglich Kompetenz- trennung zwischen dem Eidg. Personalamt und den übrigen Personaldiensten der Bundesverwaltung ist bis heute nicht gefällt worden. 6.3.Datenschutz bei den regionalen Arbeitsvermittlungszentren (RAV) Nach den Vorfällen von 1997 im Zusammenhang mit der Veröffentlichung von Arbeits- losendaten auf dem Internet hat das zuständige Bundesamt eine Reihe von Massnahmen getroffen, um den Datenschutz bei den RAV besser zu gewährleisten. 1997 waren die im Datenbearbeitungssystem AVAM bearbeiteten Arbeitslo- sendaten für eine kurze Zeit auf dem Internet weltweit zugänglich. Wir haben damals festgestellt, dass mehrere der durch die RAV bearbeiteten Personenda- ten über die Arbeitslosen unzulässig waren (vgl. 5. Tätigkeitsbericht 1997/98, S. 133). Nach unserer Intervention hat das zuständige Bundesamt (heutiges Seco) mehrere Massnahmen zur Verbesserung des Datenschutzes bei den RAV getroffen. Es wurde u. a. ein Kreisschreiben über den Datenschutz beim Vollzug des Arbeitslosenversicherungs- sowie des Arbeitsvermittlungsgesetzes erarbei- tet. Dieses legt insbesondere diejenigen Datenkategorien fest, die nicht oder nur einzelfallweise, bei erwiesenem Bedürfnis, erfasst werden dürfen. Diese Daten- kategorien entsprechen im Grossen und Ganzen den besonders schützenswerten Personendaten gemäss DSG. Das Seco hat dann auch eine Schulung der RAV- Verantwortlichen organisiert. Dabei soll insbesondere die Bedeutung des Da- tenschutzes und des Kreisschreibens näher erörtert werden, damit Letzteres auch effektiv angewendet wird. Unter der Leitung eines kantonalen Daten- schutzbeauftragten haben wir auch ein RAV besucht und festgestellt, inwieweit das Kreisschreiben und die Belange des Datenschutzes umgesetzt werden. Wir werden in nächster Zeit Besuche bei weiteren RAV anderer Kantone vorneh- men. Privatbereich 6.4.Merkblatt über den Datenschutz beim Telefonieren am Arbeitsplatz Eine Arbeitsgruppe der kantonalen Datenschutzbeauftragten und des EDSB hat in einem Merkblatt die Telefonüberwachung am Arbeitsplatz geregelt. Schwer-
Tätigkeitsbericht 1999/2000 des EDSB 36 punkte des Merkblattes sind das Verbot der Abhörung oder Aufzeichnung privater Telefongespräche sowie die Voraussetzungen einer zulässigen Auf- zeichnung von Randdaten privater Telefongespräche. Auch die Überwachung des geschäftlichen Telefonverkehrs am Arbeitsplatz sowie die besonderen Lei- stungsmerkmale moderner Telefonanlagen werden in diesem Merkblatt be- sprochen. (Vgl. Anhang S. 111). 7.Versicherungswesen Sozialversicherungen 7.1.Anpassung der Sozialversicherungsgesetzgebung an das Datenschutzgesetz Die verschiedenen Sozialversicherungserlasse wurden an die Datenschutzgesetzgebung angepasst. In einigen Punkten bestehen jedoch Meinungsverschiedenheiten zwischen dem Bundesamt für Sozialversicherung (BSV) und dem Eidgenössischen Datenschutz- beauftragten (EDSB). Die Botschaft wurde schliesslich am 8. Februar 2000 publiziert. Die Sozialversicherungserlasse müssen bis Ende 2000 den Anforderungen des Datenschutzgesetzes entsprechen (vgl. auch 6. Tätigkeitsbericht 1998/99, S. 70/71). Zweck der Revision ist es, die nötigen formellgesetzlichen Grundlagen für Datensammlungen mit besonders schützenswerten Personendaten und Persönlichkeitsprofilen zu schaffen. Der EDSB nahm im Rahmen der Ämterkonsultationen mehrmals zur «Botschaft über die Anpassung und Harmonisierung der gesetzlichen Grundlagen für die Bearbeitung von Personendaten in den Sozialversicherungen» Stellung. Es konnte jedoch nicht in sämtlichen Bereichen Einigkeit gefunden werden, was schliesslich zu einem Mitberichtsverfahren führte. Im Wesentlichen bemängelte der EDSB, dass die einzelnen Normen aus Sicht des Legalitätsprinzips ungenü- gend sind. In diesem Sinne mussten wir z. B. feststellen, dass die gesetzlichen Grundlagen für die Aufsichtstätigkeit der verschiedenen Aufsichtsbehörden ungenau und zu unbestimmt sind. Im Weiteren führt auch die analogieweise Anwendung der AHV-Gesetzgebung auf andere Sozialversicherungserlasse zu Problemen in der Praxis. Denn sie schafft sowohl für die Behörden wie auch für die Betroffenen nicht die nötige Transparenz. Dazu kommt, dass sich die Datenschutzbestimmungen der AHV nicht einfach auf andere Sozialversicherungen übertragen lassen. Im Vergleich zur AHV hat etwa die Bearbeitung von Personendaten im IV-Bereich daten-
Tätigkeitsbericht 1999/2000 des EDSB 37 schutzrechtlich einen ganz anderen Stellenwert. So werden in der Invalidenver- sicherung auch sensible Gesundheitsdaten (wie psychiatrische Gutachten etc.) bearbeitet, was grundsätzlich einer formellgesetzlichen Regelung bedarf. Zudem steht die angestrebte Harmonisierung der verschiedenen Sozialversiche- rungserlasse mit dem ursprünglichen Zweck der vorliegenden Revision z. T. im Widerspruch. Einerseits bedauern wir es, dass die Vereinheitlichung in gewis- sen Bereichen zu einer Schlechterstellung der versicherten Personen führt. Ins- besondere betrifft dies die Weitergabe von Personendaten (Ausnahmen von der Schweigepflicht), welche ausgeweitet werden soll. Im Gegensatz zur Botschaft ist der EDSB daher der Ansicht, dass die vorgesehenen Neuerungen ein Ver- nehmlassungsverfahren rechtfertigen. Andererseits führt die Harmonisierung dazu, dass die Datenbearbeitungen in den verschiedenen Gesetzen unzureichend und ungenau normiert sind. Die Datenbearbeitung in den einzelnen Sozialversi- cherungen ist nicht identisch, was jedoch in den verschiedenen Gesetzes- entwürfen zuwenig berücksichtigt wird. 7.2.Pensionskassengelder: Suche nach Anspruchsberechtigten Die neu geschaffene Zentralstelle 2. Säule soll dafür sorgen, dass die «vergessenen Pen- sionskassengelder» den Anspruchsberechtigten zugute kommen. Das im Freizügigkeits- gesetz (FZG) vorgesehene Verfahren genügt jedoch nicht, sämtliche Anspruchsberech- tigte ausfindig zu machen. Es werden daher neue Wege diskutiert, wie man zu den feh- lenden Adressen kommt. Falls jedoch zusätzliche Datenbearbeitungen eingeführt wer- den, sind auch die Rechtsgrundlagen anzupassen. Bekanntlich haben nicht alle Arbeitnehmer ihre Pensionskassenansprüche bei den Vorsorgeeinrichtungen geltend gemacht. Bei diesen «vergessenen Gutha- ben» soll es sich vor allem um Konten von ehemaligen Saisonniers und Jahres- aufenthaltern handeln, die in den 70er und 80er Jahren in der Schweiz beschäf- tigt waren (vgl. auch 6. Tätigkeitsbericht 1998/99, S. 71/72). Das Freizügigkeitsgesetz wurde revidiert und trat am 1. Mai 1999 in Kraft. Ins- besondere wurde die Zentralstelle 2. Säule geschaffen, welche dem Sicherheits- fonds angegliedert ist. Diese Meldestelle ist die Verbindungsstelle zwischen den Vorsorgeeinrichtungen, den Einrichtungen, welche Freizügigkeitskonten oder –policen führen, und den Versicherten. Im Weiteren sieht das FZG vor, dass die Zentralstelle 2. Säule die fehlenden Adressen nur über die Zentrale Ausgleichskasse der AHV (ZAS) herausfinden darf. Die Meldestelle 2. Säule wies jedoch den EDSB darauf hin, dass die ZAS nicht in der Lage sei, sämtliche Anspruchsberechtigte ausfindig zu machen. Es müssten daher andere Wege mit den einzelnen Staaten gefunden werden. Die
Tätigkeitsbericht 1999/2000 des EDSB 38 besondere Situation in den diversen Staaten sei dabei gebührend zu berücksich- tigen. Für weitere Datenbearbeitungen, insbesondere die Weitergabe von Personen- daten durch die Zentralstelle 2. Säule an ausländische Stellen, besteht zum jet- zigen Zeitpunkt keine Rechtsgrundlage. Da die Zentralstelle 2. Säule als Bun- desorgan im Sinne des DSG zu betrachten ist, bedarf deren Datenbearbeitung grundsätzlich einer Rechtsgrundlage. In diesem Zusammenhang sei noch daran erinnert, dass die Zentralstelle 2. Säule, welche dem Sicherheitsfonds angeglie- dert ist, der gesetzlichen Schweigepflicht untersteht. Ausnahmen von der Schweigepflicht bzw. die Weitergabe von Personendaten an Dritte sind gesetz- lich zu regeln. Wir haben daher sowohl der Zentralstelle 2. Säule als auch dem BSV vorge- schlagen, die Gesetzeslücke durch Staatsverträge zu schliessen. Staatsverträge stellen eine genügende Rechtsgrundlage dar und können auf die unterschied- lichen Verhältnisse in den einzelnen Staaten (insbesondere in Italien und Spa- nien) Rücksicht nehmen. Zudem können Staatsverträge (bzw. allfällige Ergän- zungen zu bisherigen Übereinkommen) relativ schnell umgesetzt werden. 7.3.Prozessanalyse im Sozialversicherungsbereich Für den EDSB sind Prozessanalysen ein geeignetes Mittel, Datenbearbeitungen auf ihre Datenschutzkonformität zu untersuchen. Denn Prozessanalysen schaffen in den Be- triebsabläufen die nötige Transparenz. Diese Erkenntnis setzt sich auch bei anderen Behörden vermehrt durch. Die sich immer wiederholenden Fragestellungen im Sozialversicherungsbereich haben auch damit zu tun, dass die internen Betriebsabläufe gegen das Daten- schutzgesetz verstossen (vgl. auch 6. Tätigkeitsbericht 1998/99, S. 73/74). Es geht also darum, die Organisation sowie die Betriebsabläufe durch Prozessana- lysen transparent zu machen und entsprechend anzupassen. Eine Analyse wurde bereits in einem Regionalen Arbeitsvermittlungszentrum durchgeführt. Zur Zeit sind wir – in Zusammenarbeit mit dem BSV – daran, eine IV-Stelle zu durchleuchten. In einem ersten Schritt werden die Unterlagen der IV-Stelle ausgewertet, allfällige zusätzliche Informationen eingeholt und schliesslich die Ziele sowie der Umfang der Überprüfung festgelegt. Nachher sollen Befragungen vor Ort durchgeführt werden, und schliesslich ist ein Schlussbericht vorgesehen. Die Resultate der Untersuchung sollen helfen, die Abläufe entsprechend zu ändern. Zu einem späteren Zeitpunkt sind allenfalls auch die Kreisschreiben und Rechtsgrundlagen anzupassen. Im Krankenversicherungsbereich sind einige Krankenkassen ebenfalls daran, die Prozesse intern analysieren zu lassen. In diesem Sinne hat auch das BSV seine Aufsicht über die Krankenversicherer verstärkt und führt seinerseits Pro-
Tätigkeitsbericht 1999/2000 des EDSB 39 zessanalysen bei den einzelnen Krankenversicherern durch. Aus unserer Sicht erfreulich ist, dass das BSV im Rahmen dieser Aufsichtstätigkeit auch die da- tenschutzrechtlichen Aspekte untersuchen will. 7.4.Expertenkommission für den Persönlichkeitsschutz in der sozialen und privaten Kranken- und Unfallversicherung Der Bericht der Expertenkommission für den Persönlichkeitsschutz in der sozialen und privaten Kranken- und Unfallversicherung liegt noch nicht vor. Die Arbeiten der Kom- mission haben sich aus verschiedenen Gründen verzögert. Die erwähnte Kommission hätte eigentlich ihren Bericht bis Ende 1999 er- stellen müssen. Die zu behandelnden Fragen wurden ausdrücklich im letzten Tätigkeitsbericht dargestellt (vgl. 6. Tätigkeitsbericht 1998/99, S. 74/75). Die Themen sind komplex und umfangreich. Insbesondere im Gesundheits- wesen sind die Ziele der Datenbearbeitungen unklar. Die Frage z. B., welche Personendaten die Krankenkassen zur Wirtschaftlichkeitsüberprüfung der Leistungserbringer benötigen, ist nicht einfach zu beantworten. Die Tatsache, dass in der Schweiz diesbezüglich praktisch kein wissenschaftliches Know- How vorhanden ist, macht die Sache auch nicht gerade leichter. Dennoch macht es keinen Sinn, die ICD-10 Codierung weiterhin zu verwenden, da sie für die- sen Zweck weder notwendig noch geeignet ist (siehe auch S. 45). Das datenschutzrechtliche Verhältnismässigkeitsprinzip ist in jedem Fall einzu- halten. Oftmals genügen das Wissen und die Erfahrung der Kommissionsteilnehmer nicht, die anstehenden Probleme zu lösen. Dies kann dazu führen, dass die Dis- kussion allzu theoretisch bzw. oberflächlich bleibt. Es besteht die Gefahr, dass die Relevanz der tatsächlichen Fragen nicht richtig erkannt wird. Sinnvoll wäre es, die verschiedenen Prozesse vor Ort genauer analysieren zu lassen. Dies würde zwar die Arbeiten der Kommission erneut in die Länge ziehen. Die Praxis zeigt auch, dass insbesondere im Gesundheitswesen die «Fronten» sehr verhärtet sind. Datenschutzkonforme Lösungen sind daher nur schwierig zu erreichen und vor allem auch umzusetzen. Der Bericht der Kommission wird aller Voraussicht nach Ende Juni 2000 vor- liegen.
Tätigkeitsbericht 1999/2000 des EDSB 40 7.5.Bundesgericht: Datenschutz umfasst auch interne Akten Im Unfallversicherungsbereich wurde bis anhin zwischen internen und externen Akten unterschieden. Im Gegensatz zu den externen Akten bekamen die Versicherten keinen Einblick in die internen Dokumente. Das Bundesgericht hat nun entschieden, dass die Auskunft in interne Akten nicht grundsätzlich verweigert werden darf. Nicht nur in der obligatorischen Unfallversicherung, sondern praktisch im ge- samten Sozialversicherungsbereich wird zwischen internen und externen Akten unterschieden. Externe Akten sollen Beweischarakter haben und sind daher den Betroffenen mitzuteilen. Einblick in interne Akten, welche nur der internen Verwaltungsbildung dienen sollen, wurde den Betroffenen bis anhin verweigert. Der Eidgenössische Datenschutzbeauftragte (EDSB) ist schon immer von der Widerrechtlichkeit dieser generellen Unterteilung zwischen internen und exter- nen Akten ausgegangen (vgl. auch 5. Tätigkeitsbericht 1997/98, S. 54). Das Bundesgericht hat nun in einem Grundsatzurteil entschieden, dass diese generelle Unterscheidung mit dem Datenschutzgesetz nicht vereinbar sei (vgl. Urteil 1A.218/1998 vom 1.9.99 – Publikation nur auszugsweise vorgesehen). Denn das Auskunftsrecht erstrecke sich auf alle in einer Datensammlung ent- haltenen Angaben über eine Person (vgl. Art. 8 DSG). Dazu gehörten auch die internen Akten über eine Person. Denn nur auf diese Weise könne der Betrof- fene seine übrigen Datenschutzrechte wahrnehmen. Das Bundesgericht führt weiter aus, dass durch die Offenlegung von Akten die interne Meinungsbildung gestört werden könnte. In solchen Fällen sei eine ge- wisse Beschränkung gerechtfertigt. Es gelte jedoch die Einschränkung des Aus- kunftsrechts auf das zeitlich und sachlich Notwendige zu begrenzen: Zeitlich dürfe die Auskunft nur für das erstinstanzliche Verfahren beschränkt werden. In sachlicher Hinsicht dürfe die Auskunft nur solange verweigert werden, als die verwaltungsinterne Meinungsbildung dies erfordere. Der EDSB möchte aber hier festhalten, dass die Ausnahmen vom Auskunfts- recht im Datenschutzgesetz abschliessend geregelt sind (vgl. Art. 9 DSG). Dies ist für jeden Einzelfall zu untersuchen. Wir baten daher das BSV erneut, die bisherige Praxis zu ändern und die diver- sen Kreisschreiben im Sozialversicherungsbereich entsprechend anzupassen.
Tätigkeitsbericht 1999/2000 des EDSB 41 7.6.Fälle aus dem IV-Bereich
Tätigkeitsbericht 1999/2000 des EDSB 43 7.7.Das Bedürfnis der Sozialversicherungen nach Austrittsberichten Sozialversicherungen verlangen von den Spitälern vollständige Austrittsberichte. In der Regel enthalten die Austrittsberichte jedoch Angaben, die für den jeweiligen Zweck we- der geeignet noch erforderlich sind. In diesem Fall sind die Sozialversicherungen nicht berechtigt, Austrittsberichte zu erhalten (Verstoss gegen das Verhältnismässig- keitsprinzip). Die Spitäler weigern sich immer mehr, ganze Austrittsberichte an die verschie- denen Sozialversicherungen weiterzuleiten. Dies zu Recht. Austrittsberichte haben in erster Linie den Zweck, den nachbehandelnden Arzt soweit als nötig zu informieren. Sie gehören grundsätzlich nicht in die Hände von Versicherern. Einerseits enthalten die Austrittsberichte zu viele Angaben. Andererseits sind die Informationen in den Austrittsberichten oft auch nicht geeignet, damit die Sozialversicherungen ihre gesetzlichen Aufgaben erfüllen können. Es ist in je- dem Einzelfall abzuklären, welche Personendaten an die Versicherer gelangen dürfen. Die IV-Stellen z. B. müssen abklären, ob und inwiefern die versicherte Person arbeitsfähig ist oder nicht. Die obligatorischen Unfallversicherungen müssen untersuchen, ob ein Unfall im Sinne des Gesetzes gegeben ist oder nicht. Voll- ständige Austrittsberichte sind dafür grundsätzlich nicht nötig. Genauso dürfen die obligatorischen Krankenversicherer nur diejenigen Daten beschaffen, welche das KVG vorsieht. Insbesondere besteht hier die Tendenz, dass die Austrittsberichte von den Spitälern systematisch eingefordert werden (vgl. auch S. 48). Geschieht dies nicht, müssen die Spitäler damit rechnen, dass die Krankenkassen die Rechnungen nicht vergüten. Ein solches Verhalten ist nicht akzeptabel. Der EDSB wird weitere Abklärungen machen und zu gegebener Zeit die geeigneten Massnahmen treffen. Schliesslich sei noch erwähnt, dass das Verhältnismässigkeitsprinzip auch für die Privatversicherer gilt. Ganze Austrittsberichte sind also auch hier in der Re- gel weder nötig noch geeignet.
Tätigkeitsbericht 1999/2000 des EDSB 44 7.8.Mündlicher Informationsaustausch zwischen der SUVA und den IV-Stellen Zwischen der SUVA und der Invalidenversicherung erfolgt die Zusammenarbeit z. T. in mündlicher Form. Dies wird in einer Vereinbarung geregelt. Der EDSB ist daran abzu- klären, ob diese Vereinbarung datenschutzkonform ist. Eine Vereinbarung zwischen der SUVA und der Invalidenversicherung aus dem Jahr 1998 soll die Zusammenarbeit bei Invaliditätsfällen regeln. Ziel dieser Vereinbarung ist es, die Rehabilitation zu beschleunigen und den Invaliditäts- grad bei reinen Unfallfolgen gegenseitig abzustimmen (vgl. Ziffer 1 der Verein- barung). Fraglich in der Vereinbarung sind jedoch Bestimmungen, welche die Koordina- tion nur in mündlicher Form vorsehen. So soll etwa die Absprache zwischen der SUVA und der IV «möglichst rasch mündlich» erfolgen, wenn der Invaliditäts- grad der IV abweicht (vgl. Ziffer 4.3.3. der Vereinbarung). Solche Regelungen sind dann unbefriedigend, wenn sie den Versicherten nicht bekannt gemacht werden. Denn jede Datenbearbeitung hat transparent zu erfolgen. Im Daten- schutzgesetz wird dies für die Beschaffung von besonders schützenswerten Per- sonendaten und Persönlichkeitsprofilen ausdrücklich erwähnt. Im Weiteren scheint auch der Aktenaustausch zwischen der SUVA und den IV- Stellen problematisch zu sein. So sollen sich die SUVA und die IV-Stellen lau- fend Kopien von Inspektorenrapporten, Arztberichten etc. zustellen (vgl. Ziffer 5.2. der Vereinbarung) Ob ein solcher Aktenaustausch zulässig ist, ist zu unter- suchen. Insbesondere dürfte eine solche Bestimmung gegen das Verhältnismäs- sigkeitsprinzip verstossen. Der EDSB ist daran, die Vereinbarung auf ihre Da- tenschutzkonformität hin zu überprüfen. Privatversicherungen 7.9.Bekämpfung des Versicherungsmissbrauchs – Zentrales Informationssystem (ZIS) Das Zentrale Informationssystem (ZIS) soll die Versicherungsgesellschaften vor betrü- gerischen Machenschaften besser schützen. Das ZIS-Reglement wird derzeit überarbeitet. Der aktuelle Entwurf ist aus datenschutzrechtlicher Sicht nicht befriedi- gend. Insbesondere ist die Transparenz für die Versicherten noch ungenügend. Der Schweizerische Versicherungsverband (SVV) hat mit dem ZIS eine Fach- stelle zur Bekämpfung des Versicherungsmissbrauchs eingerichtet. Das ZIS
Tätigkeitsbericht 1999/2000 des EDSB 45 führt eine (bei uns angemeldete) Datensammlung über hängige und bereits ab- geschlossene Straf- und Zivilverfahren. Der SVV ist zur Zeit daran, das Regle- ment sowie das entsprechende Meldeformular zu überarbeiten (vgl. auch 6.Tätigkeitsbericht 1998/99, S. 85). Vorab ist zu bemerken, dass die Verantwortung für das ZIS beim SVV bzw. bei den einzelnen Versicherungsgesellschaften liegt. Es ist grundsätzlich heikel, wenn private Institutionen – parallel zum Staat – eine dem Strafregister ähnliche Datensammlung führen; zudem handelt es sich hier um besonders schützens- werte Personendaten. Um so wichtiger ist es daher, die datenschutzrechtlichen Grundsätze einzuhalten. Das Reglement wurde überarbeitet und in einzelnen Punkten angepasst. Unbe- friedigend bis zum jetzigen Zeitpunkt ist, dass die Datenbearbeitung für die Be- troffenen zuwenig transparent ist. Die Versicherungsgesellschaften bearbeiten ihrerseits auch Datensammlungen mit besonders schützenswerten Personenda- ten und geben diese Daten auch an das ZIS weiter. Sie sind also - genauso wie das ZIS - verpflichtet, diese Datensammlungen beim EDSB anzumelden (vgl. Art. 11 Abs. 3 DSG). Durch die Anmeldung der Datensammlungen beim EDSB soll bei den Betroffenen die nötige Transparenz geschaffen werden. Die Anmeldung schafft jedoch in der Praxis nicht die gewünschte Transparenz. Die Bürger sind über die Register der Datensammlungen in der Regel nicht oder nur schlecht informiert. Wir haben daher vorgeschlagen, dass die Versiche- rungsgesellschaften die Betroffenen direkt über das ZIS orientieren. Gegenüber den Versicherungsnehmern z. B. kann dies durch ein Merkblatt im Antragsver- fahren geschehen. Es wäre zudem wünschenswert, dass der Betroffene automa- tisch Kenntnis über einen ZIS-Eintrag erhält. Dies ist umso wichtiger, da die Betroffenen in der Regel über die Gründe des abgelehnten Versicherungsantra- ges nicht informiert werden. Im Weiteren ist es wesentlich, dass die Richtigkeit bzw. die Aktualität der Da- ten immer garantiert ist. Ansonsten könnte es Probleme mit der Unschuldsver- mutung geben. In diesem Sinne sind auch die Meldeformulare, welche durch die Versicherungen auszufüllen und an die ZIS weiterzuleiten sind, zu konzipie- ren. Der SVV lässt unsere Anträge bei seinen Mitgliedern prüfen und wird sich wie- der mit uns in Verbindung setzen. 8.Gesundheitswesen 8.1.Entwurf eines Datenschutz-Zertifikats des Konkordats der schweizerischen Krankenversicherer Das KSK möchte den Krankenkassen die Möglichkeit bieten, den auf drei Positionen reduzierten ICD-10 Code systematisch zu verwenden. Voraussetzung dafür ist der Er-
Tätigkeitsbericht 1999/2000 des EDSB 46 werb eines Zertifikats. Es soll bescheinigen, dass die Kassen Angaben über die Versi- cherten gemäss den datenschutzrechtlichen Anforderungen bearbeiten. Wir begrüssten die Erarbeitung eines Zertifikats, das allerdings von der ICD-10 Codierung getrennt behandelt werden muss. Daher sprachen wir uns gegen den Vorschlag aus, die Zertifi- zierung vom ICD-10 Code abhängig zu machen. In unseren früheren Tätigkeitsberichten unterstrichen wir, dass die systemati- sche Bekanntgabe der Diagnose an die Krankenversicherung Artikel 42 Absatz 3 und 4 des Bundesgesetzes über die Krankenversicherung (KVG) zuwiderläuft (3. Tätigkeitsbericht 1995/96 S. 44, 4. Tätigkeitsbericht 1996/97 S. 39). Die sy- stematische Bekanntgabe von Codes der Internationalen statistischen Klassifi- kation der Krankheiten und verwandter Gesundheitsprobleme (ICD ; ICD-10 für eine Krankenhauseinweisung) ist illegal und verstösst ausserdem gegen den Verhältnismässigkeitsgrundsatz. Diese Bekanntgabe ist für die Bedürfnisse der Krankenkassen weder notwendig noch geeignet (5. Tätigkeitsbericht 1997/98, S. 96). Bestimmte Krankenkassen investierten erhebliche Summen in die Anpassung ihrer Informatiksysteme an die ICD-10 Codierung und sind daher nicht bereit, nach Lösungen zu suchen, die mit dem KVG übereinstimmen und ihren Be- dürfnissen besser entsprechen. Im September 1999 schlugen sie uns allerdings über das Konkordat der Schweizerischen Krankenversicherer (KSK) eine Zwi- schenlösung vor : die Variante, nur eine auf drei Positionen reduzierte Version des ICD-10 Codes systematisch bekanntzugeben. Ausserdem sollten einzig Krankenkassen mit einem Datenschutz-Zertifikat ermächtigt werden, die Codes systematisch zu bearbeiten. Das Zertifikat-Projekt umfasst Entwürfe zu einer Regelung im Datenschutzbereich sowie zu Vertragsklauseln betreffend die Be- kanntgabe der drei ICD-Positionen zwischen den Versichererverbänden und Spitälern. Der Zertifikat-Entwurf sieht namentlich vor, die Einhaltung der Ge- setzesvorschriften über den Datenschutz durch die Krankenkassen in juristi- scher, organisatorischer und technischer Hinsicht einem Audit zu unterziehen. Wir begrüssen den Zertifikat-Entwurf des KSK. Es handelt sich um ein geeig- netes Instrument, dank welchem die Krankenkassen ihre Gesetzes- verpflichtungen erfüllen können. Wir betonten ausserdem, dass es im Interesse der Kassen liegt, den Datenschutz in ihren Arbeitsalltag zu integrieren. Denn dies beeinflusst ihr Image in den Augen von Versicherten, die der Einhaltung des Datenschutzes heute grösseren Wert beimessen, positiv. Zudem werden da- durch Leistungen von hoher Qualität und eine bessere Bewertung der Risiken und der entsprechenden Abhilfemassnahmen gewährleistet. Schliesslich werden durch den Rückgriff auf Verfahrensanalysen Einsparungen erzielt.
Tätigkeitsbericht 1999/2000 des EDSB 47 Wir untersuchten das Zertifizierungs-Verfahren unabhängig vom ICD-10 Code. Wir möchten nämlich nicht, dass die Erlangung des Zertifikats zu einer Voraus- setzung wird und die « zertifizierte » Krankenkasse zu einer systematischen Bearbeitung von ICD-10-Codeauszügen ermächtigt, zumal bislang weder der Bedarf noch die Geeignetheit nachgewiesen wurden. Die Einführung eines Zertifizierungs-Verfahrens stellt eine langwierige Auf- gabe dar, die durch die beträchtliche Vielfalt der Strukturen und der Organisa- tion der Kassen erschwert wird. Einige Kassen werden ihre Organisation und Bearbeitungsweise der Versichertendossiers zu gegebener Zeit grundlegend än- dern müssen. Die Zertifizierung muss von einer neutralen, krankenversiche- rungsexternen Stelle durchgeführt werden. Der Datenschutzbeauftragte kommt für diese Aufgabe nicht in Frage, da das DSG ihm keine Entscheidungsbefug- nisse gewährt. Dagegen wäre es wünschenswert, Vertreter von Patienten und Versicherten einzubeziehen. Im Rahmen der Zertifizierungsverfahren sind die Besonderheiten der verschie- denen Versicherungsgebiete zu berücksichtigen. Je nachdem ob eine Kasse als Privat- oder als Sozialversicherer auftritt, untersteht sie anderen Gesetzen bzw. Überwachungsbehörden. Eine Privatversicherung kann z.B. von ihren Kunden die Unterzeichnung einer Einwilligungsklausel verlangen, die sie ermächtigt, schützenswerte Daten zu erheben oder bekanntzugeben. Anders verhält es sich für die obligatorische Krankenversicherung, deren Bearbeitungen schützens- werter Daten der Krankenversicherungsgesetzgebung unterstehen. Das Fehlen von Gesetzesgrundlagen wird in der Regel nicht durch die Einwilligung der be- troffenen Person wettgemacht. Schliesslich ist der Einsatz von datenschutzfreundlichen Technologien weiter zu entwickeln. Zu erwägen ist das Pseudonymisieren, wie es in Deutschland praktiziert wird. Kontrollen der Kassen – vor allem die Wirtschaftlichkeit – be- ziehen sich in erster Linie auf die Leistungsanbieter. Daher ist es nicht notwen- dig, mit Namensdaten der Versicherten zu arbeiten. Das KSK hat sich zu unserer Stellungnahme noch nicht geäussert. Die Arbeiten gehen aber offenbar ihren Gang, und der Entwurf wurde unseres Wissens mehrmals auf Konferenzen zu Gesundheit und Versicherungen vorgestellt. 8.2.Projekt Bar-Code auf Papierrechnungen Aus Gründen der Effizienzsteigerung sollen die von Ärzten an ihre Patienten verschick- ten Rechnungen auf Papier mit einem Bar-Code versehen werden, damit die Versiche- rungen die Rechnungen über diesen Bar-Code in ihre EDV-Systeme einlesen können.
Tätigkeitsbericht 1999/2000 des EDSB 48 Im Zuge der Computerisierung sollen die Abläufe nach dem Motto «time is money» immer effizienter gestaltet werden, indem auch die Aufnahme von In- formationen in EDV-Systeme nicht mehr von Menschen, sondern durch die Elektronik erfolgt. In diesem Sinne trägt man sich im Bereich der Versiche- rungen mit dem Gedanken, die bei ihnen eingehenden Rechnungen von Lei- stungserbringern über die Elektronik in ihre Computersysteme einzulesen. Zu diesem Zweck sollen die Leistungserbringer ihre Papierrechnungen zusätzlich mit einem Bar-Code versehen, der alle für die Rückerstattung wesentlichen An- gaben der Rechnung enthält. Wir wurden angefragt, ob die Verwendung eines derartigen Bar-Codes mit dem Datenschutzgesetz vereinbar sei. Da es sich bei den in den Rechnungen der Leistungserbringer bearbeiteten Per- sonendaten um besonders schützenswerte Personendaten im Sinne des Daten- schutzgesetzes handelt, sind wir mit der Verwendung des Bar-Codes auf den Rechnungen im Papierformat einverstanden, sofern
Tätigkeitsbericht 1999/2000 des EDSB 49 meinde auftritt. In den letzten beiden Fällen findet das DSG auf die Bearbeitung von Personendaten durch das Pflegepersonal keine Anwendung. Es kämen die Datenschutzbestimmungen der entsprechenden Kantone oder Gemeinden zum Tragen. Eine Bekanntgabe von Personendaten liegt nur dann vor, wenn die Daten Drit- ten zugänglich gemacht werden. Da das Spitex-Pflegepersonal unserer Meinung nach weder zum Arzt in einem Subordinationsverhältnis steht noch hinsichtlich der Bearbeitung der erhaltenen Personendaten ihm gegenüber weisungs- gebunden ist, ist das Pflegepersonal als Dritte im Sinne des Datenschutz- gesetzes zu betrachten. Macht ein Arzt auf dem Verordnungsformular Angaben über die medizinische Diagnose, so liegt somit ein Bearbeiten von besonders schützenswerten Personendaten in Form des Bekanntgebens vor. In der Kenntnisnahme der me- dizinischen Diagnose auf dem Verordnungsformular durch das Pflegepersonal wäre ein Bearbeiten von besonders schützenswerten Personendaten in Form des Beschaffens zu sehen. Eine Verletzung der Persönlichkeit ist jedoch dann widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Insbesondere beson- ders schützenswerte Personendaten dürfen nicht ohne Rechtfertigungsgrund an Dritte bekannt gegeben werden. Grundsätzlich kann eine Einwilligung ausdrücklich oder stillschweigend erfol- gen. Ausdrücklich ist die Einwilligung, wenn der Patient zum Beispiel die Möglichkeit hat, auf einem Formular dem Arzt die Bekanntgabe von für die Pflege notwendigen Personendaten an das Pflegepersonal zu erlauben. Eine stillschweigende Einwilligung liegt dagegen dann vor, wenn aufgrund der Um- stände davon ausgegangen werden kann, dass eine Dritte Person dem Handeln einer anderen Person zustimmt. Je heikler die Daten sind, deren Bearbeitung mit der Einwilligung gerechtfertigt werden soll, desto klarer wird die Einwilligung sein müssen. Deshalb sind an die Qualität der Einwilligung höhere Anforde- rungen zu stellen, wenn es sich bei den zu bearbeitenden Daten um besonders schützenswerte Personendaten handelt (ausdrückliche Einwilligung). Eine Person, die sich in Spitex-Pflege begibt, will, dass sie richtig im Sinne der ärztlichen Kunst gepflegt wird. Das setzt voraus, dass das Pflegepersonal zu- mindest über die für die konkrete Pflege erforderlichen Kenntnisse (z.B. Vor- liegen von Allergien, Diabetis etc.) verfügt. Deswegen wird man grundsätzlich von der Möglichkeit einer stillschweigenden Einwilligung in die Bekanntgabe von für die Pflege unentbehrlichen Informationen an das Pflegepersonal ausge- hen können. Eine derart stillschweigende Einwilligung darf jedoch nur hin- sichtlich der Informationen angenommen werden, von denen das Pflegepersonal im konkreten Einzelfall zum Zweck der Pflege tatsächlich Kenntnis nehmen muss. Es ist somit immer die Prüfung des konkreten Einzelfalles vorzunehmen. Die stillschweigende Einwilligung birgt jedoch die Gefahr der Rechtsunsicher- heit, sowohl für den Arzt hinsichtlich der Befugnis zur Bekanntgabe, als auch
Tätigkeitsbericht 1999/2000 des EDSB 50 für das Pflegepersonal. Deswegen drängt sich das Erfordernis auf, von Patien- ten, die Spitex-Pflege in Anspruch nehmen wollen, eine ausdrückliche, schrift- liche Einwilligung in die Bekanntgabe durch den Arzt an das Pflegepersonal einzuholen. Eine derartige Einwilligung muss gut lesbar, allgemein verständlich und so formuliert sein, dass sie den Einwilligenden über die Folge der Einwil- ligung informiert, sowie ihm die Möglichkeit gibt, diese jederzeit zu wider- rufen. Des weiteren darf sich die Einwilligung nach dem Verhältnismässig- keitsgrundsatz nur auf die Bekanntgabe der Informationen beziehen, die das Pflegepersonal unbedingt für die Vornahme der Pflege benötigt. In diesem Zusammenhang stellte sich des weiteren die Frage, ob das Spitex- Personal dem Arztgeheimnis unterliegt. Gemäss Krankenversicherungsgesetz vom 18. März 1994 muss der Leistungs- erbringer dem Schuldner eine detaillierte und verständliche Rechnung zustellen. Er muss ihm auch alle Angaben machen, die er benötigt, um die Berechnung der Vergütung und die Wirtschaftlichkeit der Leistung überprüfen zu können. Im System des «Tiers garant», in dem der Versicherte der Schuldner ist, erhält die versicherte Person eine Kopie der Rechnung, die sie dem Versicherer zustellt. Der Versicherer kann im Einzelfall eine genaue Diagnose oder zusätzliche Aus- künfte medizinischer Natur verlangen. Im Hinblick auf die Berechnung der Vergütung kann es nützlich sein, dass der Versicherer Kenntnis von der gestellten medizinischen Diagnose hat. Der De- taillierungsgrad der Diagnose hat sich jedoch an dem Grundsatz der Verhält- nismässigkeit zu orientieren. Danach dürfen nur die Daten bearbeitet werden, die für die Aufgabenerfüllung unbedingt erforderlich sind (Maxime des abso- luten Minimums). Die wesentlichen Informationen über einen Patienten wie die medizinische Diagnose erhält der Versicherer durch den Arzt. Unserer Ansicht nach darf das Spitex-Pflegepersonal seine Leistungen nur im Rahmen der An- ordnung des Arztes zum Zweck der Heilung der vom Arzt diagnostizierten Krankheit erbringen. Für den Versicherer ist es also nicht erforderlich, dass das Pflegepersonal dem Versicherer weitergehende Patienteninformationen liefert. Eine entsprechende Bekanntgabe wäre unseres Erachtens weder durch eine ge- setzliche Norm noch durch ein überwiegendes privates oder öffentliches Interesse gerechtfertigt. Sofern keine Einwilligung der betroffenen Person vor- liegt, kommt auch dieser Rechtfertigungsgrund nicht in Betracht. Damit läge in einer Bekanntgabe durch das Pflegepersonal an den Versicherer eine wider- rechtliche Persönlichkeitsverletzung im Sinne des Datenschutzgesetzes. Mit einer Bekanntgabe weitergehender Patienteninformationen durch das Pfle- gepersonal wäre auch der Tatbestand von Art. 35 Abs. 1 DSG erfüllt. Danach macht sich strafbar, wer vorsätzlich geheime, besonders schützenswerte Perso- nendaten oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei der Ausübung seines Berufes, der die Kenntnis solcher Daten erfordert, erfahren hat.
Tätigkeitsbericht 1999/2000 des EDSB 51 8.4.Die Mehrwertsteuer und Psychotherapie Umsätze von Psychotherapien sind nur von der Mehrwertsteuer ausgenommen, wenn eine als Heilbehandlung anerkannte Tätigkeit erbracht und diese ärztlich angeordnet wurde. Da Ausnahmen von der Steuerpflicht vom Steuerpflichtigen im Einzelnen nach- zuweisen sind, müssen die behandelten Personen ihre Einwilligung in das Aufdecken des Namens in Verbindung mit einer psychotherapeutischen Behandlung erteilen. Anson- sten ist die Heilbehandlung von der Steuer nicht befreit. Ein Psychotherapeut störte es, als er bei der Steuerrevision die Namen seiner Klienten offenlegen musste. Er fragte sich insbesondere, ob er dabei seine be- rufliche Schweigepflicht verletze. Wie unsere Abklärungen ergaben, unterliegen im Inland erbrachte Dienst- leistungen grundsätzlich der Mehrwertsteuer (Art. 4 – 6 Verordnung über die Mehrwertsteuer, MWSTV). Einzig wenn bestimmte nach Art. 14 MWSTV aus- genommene Leistungen vorliegen, worunter z.B. Heilbehandlungen im Bereich der Humanmedizin oder Angehörige ähnlicher Heilberufe fallen, sind dies Um- sätze von der Steuer ausgenommen oder befreit. Die in Art. 14 MWSTV aufge- führten Ausnahmen sind überdies eng auszulegen. Im Steuerrecht gilt der all- gemein anerkannte Grundsatz, dass Ausnahmen von der Steuerpflicht vom Steuerpflichtigen oder allfällig Steuerpflichtigen selber im Einzelnen nachzu- weisen sind. Das Bundesgericht hat diesbezüglich festgestellt, dass selbst das Bankgeheimnis keinen absoluten Anspruch auf Verweigerung einer Aussage oder der Herausgabe von Akten gegenüber der Untersuchungsbehörde gibt. So schützt etwa das Bankgeheimnis nicht in Fällen, wo es darum geht zu prüfen, ob ein Umsatz der Steuer unterliegt oder nicht (BGE 119 IV 175). Nichts anderes gilt ferner auch für die Träger des gesetzlich geschützten Berufsgeheimnisses. So muss z.B. auch der Rechtsanwalt, welcher eine steuerbefreite Leistung an einen Klienten im Ausland geltend macht, sowohl Name wie auch Adresse des Klienten aufzeigen, damit dieser Umsatz nicht zu versteuern ist. Umsätze von Psychotherapeuten sind nach der geltenden Rechtslage nur dann von der Steuer ausgenommen, wenn eine bestimmte, als Heilbehandlung aner- kannte Tätigkeit erbracht und diese ärztlich angeordnet wurde. Daher müssen auch die Psychotherapeuten so weit Einblick in ihre Unterlagen gewähren, dass die Eidg. Steuerverwaltung feststellen kann, in Bezug auf welche Personen eine ärztliche Verordnung vorliegt und welche Tätigkeit im Einzelnen erbracht wor- den ist. Die Angaben können gegenüber der Eidg. Steuerverwaltung nur ge- macht werden, sofern die behandelte Person ihre Einwilligung in das Aufdecken des Namens in Verbindung mit einer psychotherapeutischen Behandlung erteilt hat (Art. 13 Abs. 1 DSG). Trifft dies zu und liegt eine anerkannte Heilbe- handlung vor, ist die Leistung von der Steuer ausgenommen und fällt dement- sprechend günstiger aus.
Tätigkeitsbericht 1999/2000 des EDSB 52 Wenn allerdings ein Klient seinen Namen gegenüber der Steuerbehörde nicht aufzeigen lassen will, kann der Therapeut diese Angaben der Behörde nicht ma- chen (berufliche Schweigepflicht gemäss Art. 35 DSG). Die Umsätze sind dies- falls zum massgebenden Satz von 7,5% steuerbar. 9.Genetik 9.1.Verordnung über die erkennungsdienstliche Identifikation mit DNA- Profilen Im Nachgang zu den Arbeiten der vom Eidgenössischen Justiz- und Polizeidepartement eingesetzten Expertenkommission DNA-Profil-Datenbank erhielt das Generalsekretariat des Eidgenössischen Justiz- und Polizeidepartementes den Auftrag, die erforderlichen Rechtsgrundlagen für eine vom Bund geführte DNA-Profil-Datenbank zu erarbeiten. Die vom Eidgenössischen Justiz- und Polizeidepartement eingesetzte Experten- kommission DNA-Profil-Datenbank (dazu 6. Tätigkeitsbericht 1998/99 S. 96) kam zu dem Ergebnis, dass eine zentrale DNA-Profil-Datenbank auf Bundes- ebene durchaus wünschenswert und zweckmässig wäre. Voraussetzung für de- ren Einrichtung und Führung sei jedoch das Vorliegen hinreichender Rechts- grundlagen. Da in einer derartigen DNA-Profil-Datenbank besonders schüt- zenswerte Personendaten im Sinne des Datenschutzgesetzes bearbeitet würden, wäre eine Rechtsgrundlage in einem formellen Gesetz erforderlich. Aus politischen Überlegungen kam das Eidgenössische Justiz- und Polizeide- partement zu der Überzeugung, für eine zeitlich begrenzte Übergangsfrist bis zur Schaffung dieser formalgesetzlichen Rechtsgrundlage sei eine Regelung auf Verordnungsebene, gestützt auf Art. 351 septies StGB ausreichend. Der Bundesrat erklärte in seiner Antwort auf die Motion Widmer 99.3068 vom 15.3.1999, die Schaffung einer entsprechenden Verordnung zu veranlassen. Im März 2000 haben wir vom Antrag des Eidgenössischen Justiz- und Polizei- departements an den Bundesrat Kenntnis genommen, eine DNA-Profildaten- bank aufzubauen, die sich provisorisch auf eine ungenügende formellgesetzli- che Grundlage nach Bundesgesetz über den Datenschutz stützt. Ohne das Pro- jekt zu billigen, haben wir erklärt, dass wir das Projekt nicht bekämpfen, falls die Erarbeitung der notwendigen formellgesetzlichen Grundlage rasch in der Hand genommen wird.
Tätigkeitsbericht 1999/2000 des EDSB 53 10.Finanzen Bankwesen 10.1. Auflagen der Wettbewerbskommission im Zusammenhang mit einer Fusion Bevor Name und Adresse eines Bankkunden anderen Bankinstituten zur Verfügung gestellt werden, müssen die Betroffenen die Möglichkeit zur Erteilung der Einwilligung erhalten. Wer bei der alten Bank bleiben möchte, sollte dies kundtun können. Entgegen den datenschutzrechtlichen Bestimmungen in anderen Ländern sieht das DSG keine ausdrückliche Einwilligung vor. Dies entbindet eine Bank allerdings nicht davor, die Kunden umfassend zu informieren und sie schriftlich um ihre Meinung zu fragen. Langjährige Kunden der Bank X unterrichteten uns darüber, dass sie von ihrer Bank wie folgt informiert wurden: Die Wettbewerbskommission, WEKO, habe verfügt, dass die Bank X verpflichtet werde, einige Filialen aus ihrem Ge- schäftsstellennetz zu veräussern. Die betroffenen Kunden wurden nach dem Zu- fallsprinzip aus dem Kundenbestand ausgewählt und angeschrieben. Dabei wurde ihnen die Möglichkeit eines Wechsels zur Bank Y offeriert. Es wurde mitgeteilt, die bevorzugte Bankverbindung werde nicht ohne Einverständnis der Kunden übertragen. Innert 20 Tagen müssten sie jedoch den beigelegten Ant- worttalon im Rückantwortkuvert retournieren, da die Bank X ansonsten ver- pflichtet sei, den Namen sowie alle zur Eröffnung einer Geschäftsbeziehung notwendigen Daten auch ohne schriftliche Einwilligung der Bank Y zur Verfü- gung zu stellen. Die gleichen Informationen müssten weitergegeben werden, wenn bis zum Einsendeschluss auf eine schriftliche Rückantwort verzichtet werde. Die Bank Y werde die Kunden anschliessend kontaktieren und ihnen die Eröffnung einer neuen Geschäftsbeziehung offerieren. Die Kunden waren be- sorgt über dieses Vorgehen der Bank und erkundigten sich, ob dies rechtens sei. Im Rahmen unserer Abklärungen stellten wir fest, dass dieses Vorgehen Aus- fluss der Umsetzung des Memorandums of Understanding war, welches 1998 von der WEKO genehmigt worden war. Die Bank X wurde darin verpflichtet, bei Stillschweigen des Kunden dessen Namen und der für die Aufnahme der Kundenbeziehung notwendigen Angaben, insbesondere bezüglich Produktenut- zung der neuen Bank weiterzugeben. Die Bank X bestätigte uns, dass alle betroffenen Kunden mit eingeschriebener Post angeschrieben worden seien. Kunden mit banklagernder Post seien nicht angeschrieben worden und bei eingeschriebenen Briefen, die nicht zugestellt bzw. nicht abgeholt werden konnten, erfolge keine Datenbekanntgabe. Damit werde gewährleistet, dass jeder Kunde der Bank X ausdrücklich seine bevor- zugte Bankbeziehung mitteilen könnte (explizite Einwilligung). Überdies wür-
Tätigkeitsbericht 1999/2000 des EDSB 54 den die Kunden darüber informiert, falls sie den Antworttalon nicht binnen einer Frist von 20 Tagen retournieren würden, dass ihre Daten der Bank Y bekanntgegeben würden. Vor diesem Hintergrund sei zu vermuten, dass ein Bankkunde von X, der nicht reagiere, stillschweigend mit dem Wechsel seiner Bankverbindung einverstanden sei. Dies bedeutet, dass er implizit in die Bekanntgabe seines Namens, der Adresse und Produktenutzung zwecks Aufnahme einer neuen Kundenbeziehung mit der neuen Bank einwillige. Unter Berücksichtigung aller Umstände sind wir zum Schluss gekommen, dass das gewählte Vorgehen im Einklang mit den datenschutzrechtlichen Bestim- mungen steht. 10.2.Allgemeine Geschäftsbedingungen und die Einwilligung zu Marketingzwecken Kunden sind über das systematische Bearbeiten ihrer Kundendaten zu Marketing- zwecken zu orientieren. Sofern dies im Rahmen von Allgemeinen Geschäftsbedingungen geschieht, sollte ihnen beispielsweise ein Wahlrecht angeboten werden, damit die Ein- willigung in die Bearbeitung zu Marketingzwecken ausdrücklich erteilt oder darauf ver- zichtet werden kann. Dies zeigt, dass nicht alle Kunden Werbung über neue Produkte wünschen. Die Bearbeitung zu Marketingzwecken sollte daher nicht unmittelbar mit Verträgen gekoppelt werden. Ein Kunde einer Grossbank interessierte sich für das Telebanking. Als er den Vertrag mit den «Rahmenbestimmungen beim Einsatz elektronischer Hilfs- mittel» und die «Besonderen Bestimmungen für das Telebanking bzw. Phone- banking» durchlas, hegte er Zweifel über deren Rechtmässigkeit und bat uns um eine Stellungnahme. Aus datenschutzrechtlicher Sicht auffallend war der Passus über die Bearbei- tung der Daten zu Marketingzwecken. Ziffer 10 Absatz 2 der Rahmenbestim- mungen beim Einsatz elektronischer Hilfsmittel lautet: «Die Bank wird hiermit ausdrücklich ermächtigt, sämtliche Informationen über den Kunden zu eigenen Marketingzwecken systematisch zu bearbeiten». Wie unsere Abklärungen bei der Grossbank ergaben, werde die Verwendung der Daten zu eigenen Marketingzwecken in den Rahmenbestimmungen ausdrücklich genannt. Über- dies werde dieser Zweck nicht nur einseitig bekanntgegeben, sondern der Kunde willige explizit ein. Letztere Meinung teilten wir nicht, da ein Kunde nicht explizit in die AGB einwilligen kann, wenn kein Wahlrecht vorgesehen ist. Eine Einwilligung kann unter diesen Bedingungen höchstens implizit erteilt werden. Die Grossbank stellte sich überdies auf den Standpunkt, es könne in guten Treuen angenommen werden, dass das entsprechende Produkt für die Kunden
Tätigkeitsbericht 1999/2000 des EDSB 55 von Interesse sei. Dass diese Annahme falsch war, zeigte unter anderem das Beispiel desjenigen Kunden, der sich bei uns über diese Bearbeitung erkun- digte. Ein Kunde, der am Tele- oder Phonebanking durchaus interessiert war, ohne weitere Werbung zu wünschen. Wir wiesen die Grossbank daher auf unsere bisherigen Ausführungen hin, wo- nach Datenbearbeitungen, die nicht in einem direkten Zusammenhang mit der Vertragsabwicklung stehen wie die Verwendung von Personendaten für interne oder externe Marketingzwecke keinesfalls in den Allgemeinen Geschäftsbedin- gungen figurieren dürfen. Es besteht weder ein Rechtfertigungsgrund noch ent- spricht es dem Prinzip der Verhältnismässigkeit, dem Kunden eine Datenbear- beitung zu unterbreiten, die nichts mit der unmittelbaren Vertragsabwicklung zu tun hat. Sofern der Kunde die Verwendung seiner Daten zu Marketingzwecken nicht wünscht, ist er gezwungen, auf die Dienstleistung ebenfalls zu verzichten. Derartige Datenbearbeitungen bedürfen daher einer separaten Einwilligungser- klärung des Kunden, die nicht mit den Allgemeinen Geschäftsbedingungen ge- koppelt ist. Eine Verweigerung der Einwilligung, die Daten zu Marketing- zwecken preiszugeben, darf keine negativen Auswirkungen auf die übrige Ver- tragsabwicklung haben. Ausführungen (5. Tätigkeitsbericht 1997/98, S. 61ff). Wir waren der Auffassung, es gehe nicht primär um eine Interessenabwägung zwischen den Interessen der betroffenen Person und der Grossbank, da letztere Personendaten nur mit Einwilligung der betroffenen Person zu Marketing- zwecken weiterbearbeiten darf. Dafür verlangten wir, dass den Kunden die Wahlmöglichkeit zu geben sei, ob sie ihre Einwilligung in die Bearbeitung ihrer Daten zu Marketingzwecken wünschten oder nicht. Daher haben wir vorge- schlagen, diesen Passus in den Rahmenbestimmungen abzuändern, sowie eine zusätzliche Klausel in der Erklärung über den Anschluss an das System aufzu- nehmen. Die Grossbank holte sodann ein Gutachten ein und stellte sich auf den Stand- punkt, die Einräumung eines als separater Vertragsbestandteil gestalteten freien Wahlrechts erachte sie als rechtlich nicht zwingend. Sie war jedoch bereit, die Marketingklausel zu präzisieren. Neu soll klar ersichtlich sein, dass nicht po- tenziell sämtliche Daten über einen Kunden zu Marketingzwecken bearbeitet werden, sondern nur solche aus der bankgeschäftlichen Beziehung. Zudem soll die Marketing-Klausel durch Fettdruck hervorgehoben werden. Die betroffenen Personen können jedoch die Bearbeitung ihrer Daten für Marketingzwecke jederzeit verweigern, ohne dass dies für sie mit negativen Konsequenzen verbunden sein darf.
Tätigkeitsbericht 1999/2000 des EDSB 56 10.3. Identifikation der Bankkunden am Schalter Wer eine neue Geschäftsbeziehung mit einer Bank aufnehmen möchte, muss sich aus- weisen. Die Bank ihrerseits ist aus Beweis- und Sicherheitsgründen gehalten, den neuen Kunden zu identifizieren und seine Personalien auf geeignete Weise festzuhalten. Vorallem bei langjährigen Kunden sind die Identifikationsvorschriften auf Widerstand gestossen, weshalb sie sich bei uns über die Voraussetzungen der Identifikation und Be- arbeitung ihrer Personendaten am Bankschalter informieren wollten. Wir erhalten immer wieder Anfragen von Bankkunden, die am Bankschalter einen amtlichen Ausweis zeigen müssen, der zudem kopiert wird. Nicht selten ärgern sich die Betroffenen, weil dies ohne hinreichende Begründung erfolgt. Die Banken sind nach Art. 2 Vereinbarung über die Standesregeln zur Sorg- faltspflicht der Banken (VSB 98) der Schweizerischen Bankiervereinigung, VSB, gehalten, bei Aufnahme einer Geschäftsbeziehung den Vertragspartner zu identifizieren. Dies gilt unter anderem bei der Eröffnung von Konten oder Hef- ten, der Eröffnung von Depots, der Vornahme von Treuhandgeschäften, der Vermietung von Schrankfächern, der Annahme von Aufträgen zur Verwaltung von Vermögen, die bei Dritten liegen oder bei Kassageschäften über Beträge von mehr als Fr. 25'000.-. Aufgrund der allgemeinen Identifikationsvorschriften sind zu diesem Zweck auf geeignete Weise Name, Vorname, Geburtsdatum, Nationalität und Wohnsitz- adresse des Kunden, sowie die Mittel, anhand derer die Identität geprüft worden ist, festzuhalten. Die Fotokopie des amtlichen Ausweises und andere Identifi- kationsakten sind von der Bank aufzubewahren, damit die interne Revision und die bankengesetzliche Revisionsstelle die Vornahme der Identifikation kontrol- lieren können (zu Art. 2 N 20 + 21, Allgemeine Identifikationsvorschriften und Überwachung, VSB 98). In der Praxis ergeben sich oft Konstellationen, die von Art. 2 VSB 98 erfasst werden, aber den Kunden von den Bankangestellten erklärt werden müssten. Beispielsweise ist beim Einlösen einer Obligation die Eröffnung eines Depots zwingend erforderlich, weshalb ohne Fotokopie eine Obligation nicht eingelöst werden kann. Die revidierte VSB vom 1. Juli 1998 war der Grund, weshalb auch langjährige Bankkunden ihrer Bank eine Kopie eines amtlichen Ausweises, ihr Geburtsda- tum und eine Passphoto zur Verfügung stellen mussten, was bei verschiedenen Betroffenen auf grosses Unverständnis stiess. In manchen Fällen erfolgte diese Aufforderung, ohne die Kunden genügend zu informieren. Wir schlagen den Anfragenden jeweils vor, sich direkt an die entsprechende Bank zu wenden, um je nach Sachverhalt den effektiven Grund für die Kopie in Erfahrung zu brin- gen. Da diese Bearbeitung von Personendaten nicht primär eine datenschutz-
Tätigkeitsbericht 1999/2000 des EDSB 57 rechtliche Angelegenheit ist, sondern organisationsrechtliche Regelungen im Bankenbereich betrifft, besteht überdies die Möglichkeit, sich an den Schweize- rischen Bankenombudsmann zu wenden. 10.4.Amtshilfe der Eidgenössischen Bankenkommission an die Securities Commission der Vereinigten Staaten von Amerika Bei der Übermittlung von Personendaten durch die Eidgenössische Bankenkommission an die Securities Commission der Vereinigten Staaten von Amerika handelt es sich nach unserer Auffassung um Amtshilfe, die vom DSG erfasst wird. Neben dem DSG gelangen ergänzend auch die bereichsspezifischen Amtshilfebestimmung des Börsengesetzes zur Anwendung. Von einem Rechtsvertreter wurden wir darauf hingewiesen, dass die Eidgenös- sische Bankenkommission (EBK), persönliche Daten von Kunden einer Schweizer Bank an die Securities and Exchange Commission (SEC), übermit- teln wolle. Die SEC gebe offen zu, dass sie sämtliche Verfahren wegen angeb- licher Finanzdelikte unter Nennung der Namen der Beteiligten und des ihnen vorgeworfenen Verhaltens auf ihrer Homepage auf dem Internet publiziere – bevor ein unabhängiges Gericht über den Fall entschieden habe. Das ihnen zur Last gelegte Verhalten erfülle in der Schweiz meistens einen Straftatbestand, der jedoch gerichtlich nicht festgestellt sei. Daher werde mit der Veröffent- lichung über Internet gegen das Gebot der Unschuldsvermutung gemäss Art. 6 Ziffer 2 der Europäischen Menschenrechtskonvention verstossen. Zudem könnten die Daten entgegen dem Spezialitätsprinzip beliebigen Behörden belie- biger Staaten zur Verfügung gestellt werden und dort, ohne dass irgendwelche rechtsstaatlichen Vorbehalte vorhanden wären, für beliebige administrative, fis- kalische oder strafrechtliche Verfahren verwendet werden. Die Bearbeitung der Personendaten durch die SEC schien daher geeignet, zu einer schwerwiegenden Gefährdung der Persönlichkeit der Betroffenen zu führen. Überdies verbietet das DSG eine Bekanntgabe von Personendaten ins Ausland, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde. Wie unsere Abklärungen bei der EBK ergaben, war letztere der Ansicht, das DSG sei auf Amtshilfeverfahren analog zu Rechtshilfefällen im Sinne von Art. 2 Abs. 2 lit. c DSG nicht anwendbar. Sie begründete dies mit dem Argument, vorliegend handle es sich um ein Verfahren der internationalen Rechtshilfe, womit das DSG nicht anwendbar sei. Ausserdem gehe Art. 38 Bundesgesetz über die Börsen und den Effektenhandel als lex specialis den allgemeinen Be- stimmungen von Art. 6 DSG vor. Diese Auffassungen konnten wir nicht teilen. In der Lehre werden Amts- und Rechtshilfe getrennt behandelt. Die zu verfol- genden strafbaren Delikte der Rechtshilfe weisen komplexe Sachverhaltsstruk- turen mit Auslandsbezug auf. Zur Abklärung des Sachverhalts muss in der Re-
Tätigkeitsbericht 1999/2000 des EDSB 58 gel auf die internationale Rechtshilfe in Strafsachen zurückgegriffen werden, weshalb Gesuche an das BAP zu richten sind. Das Verfahren der interna- tionalen Amtshilfe ist demgegenüber formlos, soweit keine kundenbezogenen Informationen ausgetauscht werden. Die Argumentation, das DSG sei auf Amtshilfeverfahren analog zur Rechtshilfe nicht anwendbar, ist vor diesem Hintergrund nicht vertretbar. Aus dem DSG insgesamt lässt sich keineswegs schliessen, dass es auf die internationale Amtshilfe nicht anwendbar wäre. Tat- sächlich enthält das DSG Amtshilfenormen im innerschweizerischen und im internationalen Kontext. Die Auffassung, Art. 38 Börsengesetz, BEHG, verdränge aufgrund seiner Spe- zialität das DSG und damit Art. 6 DSG, ist unseres Erachtens nicht richtig. Das DSG gilt für die Bearbeitung von Personendaten durch Bundesorgane wie die EBK. Allgemeine Amtshilfenormen enthält das Bundesrecht keine. Es finden jedoch einzelne bereichsspezifische Bestimmungen Anwendung und in Bezug auf Personendaten ist auf die Artikel 19 und 20 DSG hinzuweisen, wonach all- gemeine Kriterien hergeleitet werden, die generell auf die Amtshilfe anwendbar sind (siehe auch die ständige Praxis der EDSK in VPB 1998 II 39 und 40). Die Übermittlung von Personennamen durch die EBK an die SEC zwecks Ver- öffentlichung über Internet - vor der Durchführung eines Strafverfahrens - steht nicht im Einklang mit der spezialrechtlichen Amtshilfebestimmung für das Ausland von Art. 38 Abs. 2 BEHG. Grund dafür ist, dass die Voraussetzungen für die Bearbeitung von nicht öffentlich zugänglichen Auskünften und sachbe- zogenen Unterlagen der ausländischen Aufsichtsbehörde über Börsen und Effektenhändler nicht erfüllt werden. Damit der Schutz der Persönlichkeit ge- währt werden kann, sind daher die allgemeinen Datenschutzgrundsätze inklu- sive Art. 6 DSG über die Bekanntgabe von Personendaten ins Ausland anwend- bar. Die Bekanntgabe der Personendaten durch die EBK an die SEC ist daher nicht gerechtfertigt. Der Rechtsstreit ist derzeit noch beim Bundesgericht hängig. Wirtschaftsauskunfteien 10.5. Datenabgleich bei Bonitätsüberprüfungen Zur Prüfung der Kreditwürdigkeit potentieller Kunden ist es im Grosshandel nicht im- mer möglich, die Bonität jedes Kunden einzelfallweise zu prüfen. Sofern Wirtschafts- auskunfteien den Grosskunden Personendaten verschlüsselt bekanntgeben und letztere nach dem Datenabgleich nur diejenigen Daten ausgedruckt erhalten, die sie im Zusam- menhang mit dem Abschluss oder der Abwicklung eines Vertrages benötigen, handelt es sich um einen datenschutzkonformen Abgleich.
Tätigkeitsbericht 1999/2000 des EDSB 59 Die Empfehlung über den Datenabgleich bei der Überprüfung der Kreditwür- digkeit vom 18. Dezember 1998 (vgl. 6. Tätigkeitsbericht 1998/99, S. 184) wurde von der Inhaberin der Datensammlung grundsätzlich akzeptiert. Sie war bereit, ein neues Produkt zu prüfen, welches Grosskunden Daten nur noch in verschlüsselter Form zur Verfügung stellt. Der automatische Datenabgleich (matching), wird danach weiterhin beim Grosskunden vorgenommen, allerdings in einem Black-box-Verfahren, bei dem die Daten der Warenbesteller für den automatischen Abgleich mit den Bonitätsdaten verschlüsselt werden. Die Kun- den erhalten nach dem Abgleich nur noch die für sie relevanten Bonitätsre- sultate für den Abschluss oder die Abwicklung eines Vertrages. Damit ist die unbefugte Kenntnisnahme von Bonitätsdaten anderer Personen oder das Ko- pieren der Datenträger für die Verwendung der Daten zu anderen Zwecken un- terbunden. Die Kunden müssen sich über eine Benutzer-ID sowie ein persönliches Pass- wort identifizieren. Überdies muss der Benutzer bei jeder Abfrage mittels Ta- stendruck bestätigen, dass die Abfrage im Hinblick auf den Abschluss eines Vertrages (Bestellung von Waren- und/oder Dienstleistungen) oder im Zusam- menhang mit der Vertragsabwicklung z.B. zur Abklärung einer ausstehenden Forderung für die Einleitung einer Betreibung, erfolgt. Aus Sicherheits- und Beweisgründen werden die Benutzerabfragen protokolliert. Die Einhaltung der Datenschutzvorschriften wurden vertraglich geregelt, wobei die Inhaberin der Datensammlung das Recht hat, die Einhaltung der Auflagen zu kontrollieren. 10.6. Mahnungen und unrichtige Angaben bei Wirtschaftsauskunfteien Im vergangenen Jahr haben sich falsche bzw. völlig veraltete Eintragungen in verschie- denen Datensammlungen von Wirtschaftsauskunfteien gehäuft. Wir wiesen daher mehr- fach darauf hin, dass die Richtigkeit und Aktualität der Daten regelmässig geprüft und veraltete Daten gelöscht werden müssen. Falsche Daten sorgen nicht nur bei den betrof- fenen Personen für Nachteile, sondern auch bei den Käufern dieser Daten. Bei der Be- kanntgabe von Mahnungen ist umstritten, ob diese Angaben für die Einschätzung der Zahlungsfähigkeit geeignet und nötig sind. Verschiedene Wirtschaftsauskunfteien stellten ihren Kunden bereits vor oder mit Einleitung einer Betreibung Mahnungen als Bonitätsinformationen zur Ver- fügung. Wir sind der Auffassung, aus Mahnungen lassen sich keine aussage- kräftigen Schlüsse über die Kreditwürdigkeit eines potentiellen Kunden ziehen. Bei umstrittenen Forderungen mögen Mahnungen geschickt werden, aber die zusätzliche Bekanntgabe an Dritte, vor Überprüfung der Rechtmässigkeit der Forderung ist nicht verhältnismässig. Seit Jahren haben wir gegenüber allen
Tätigkeitsbericht 1999/2000 des EDSB 60 Wirtschaftsauskunfteien gefordert, dass Daten erst nach Einleitung des Betrei- bungsbegehrens an Dritte bekanntgegeben werden dürfen, weshalb wir bei ver- schiedenen Inhabern von Datensammlungen mehrmals darauf hinwiesen. Eine Unternehmung hat mittlerweile sämtliche Angaben im Zusammenhang mit Mahnungen gelöscht. Andere Firmen stellen die Daten weiterhin nach Einlei- tung der Betreibung zur Verfügung, was nicht im Einklang mit den allgemeinen datenschutzrechtlichen Grundsätzen ist. Stellvertretend für verschiedene andere Beispiele, die sich aus einer nicht aktu- ellen Bearbeitung von Bonitätsdaten ergeben, mag folgender Fall stehen. Eine Person pflegte 1994 während einiger Zeit ihre beiden todkranken Eltern, die kurz nacheinander verschieden. Infolge Arbeitsüberlastung vergass sie während dieser Zeit die rechtzeitige Begleichung von vier Rechnungen in der Höhe zwi- schen Fr. 140.- bis Fr. 560.- und wurde zurecht betrieben. Nach dem Tod ihrer Eltern beglich sie indes sämtliche Forderungen inkl. Verzugszinsen, womit niemand zu Schaden kam. Als sie 1999 einen Kaufvertrag abschliessen wollte, wurde ihr gesagt, sie sei nicht kreditwürdig. Wie ihre Nachforschungen erga- ben, waren ihre mehr als fünf Jahre alten Daten dieser ehemalige Betreibungen immer noch im Umlauf bzw. wurden verkauft, weshalb sie als nicht solvent be- trachtet wurde. Auf unsere Intervention hin wurden die entsprechenden Einträge bei der Wirtschaftsauskunftei gelöscht. 11.Werbung und Marketing 11.1.Neue Marktforschungsmethoden: Einscannen der Einkäufe durch die Verbraucher Die Marketingbranche befindet sich in ständiger Entwicklung. Jegliche technische Neu- entwicklung, die auf den Markt kommt, wird sofort nach dem Gesichtspunkt der Ein- setzbarkeit für die Gewinnoptimierung überprüft. Im Bereich Marktforschung etwa ist die Entwicklung vom herkömmlichen Fragebogen zu technischen Erfassungsmethoden festzustellen. Dem Einfallsreichtum sind dabei kaum Grenzen gesetzt. Über die Medien sowie durch Hinweise aus der Bevölkerung sind wir auf eine Marktforschungsmethode aufmerksam geworden, die für zahlreiche Konsu- menten ein Novum darstellt. Im Unterschied zur allgemein bekannten Erhe- bungsmethode mit Hilfe von Fragebögen, werden ähnlich wie bei Rabatt-Sy- stemen (bspw. M-Cumulus) Scanner eingesetzt, wobei die Projektteilnehmer (Verbraucher) die getätigten Einkäufe selbständig aufnehmen und ihre Ein- kaufsdaten sodann via Telefonleitung an den Server des betreffenden Marktfor-
Tätigkeitsbericht 1999/2000 des EDSB 61 schungsunternehmens übermitteln. Zweck dieses neu entwickelten Produkterfassungssystems ist es, die Resultate herkömmlicher Marktfor- schungsstudien über Konsumverhalten zu optimieren. Fragebögen werden le- diglich noch dazu benutzt, die Testpersonen in vordefinierte Konsumenten- gruppen einzuteilen (Alter, Geschlecht, Beruf, Region, u.s.w.), während durch den Scanner das tatsächliche Konsumverhalten festgehalten wird. Die Statistiken über das Konsumverhalten dienen dazu, den Kunden des betref- fenden Marktforschungsunternehmens (Produzenten und Händler von Konsum- gütern) Informationen über Konsumverhalten gegen Entgeld zur Verfügung zu stellen, damit sie ihre Marketingstrategien entwickeln und verbessern können. Wie wir bereits in früheren Beiträgen zum Thema Marktforschung betont haben (siehe 5. Tätigkeitsbericht 1997/98, S. 108 und 6. Tätigkeitsbericht 1998/99, S. 74), ist aus unserer Sicht eine ausreichende Information der Testpersonen über die beabsichtigen Datenbearbeitungen unabdingbar. Die Betroffenen dürfen nicht darüber im Unklaren gelassen werden, welche Daten erhoben werden und wie sie im Einzelnen weiterbearbeitet werden. Besonders wichtig im vorliegen- den Fall ist es, die Testteilnehmer vorgängig darüber zu informieren, welche Daten (z.B. welche Informationen enthält ein Strichcode) über sie bearbeitet werden, wie und zu welchen Zwecken sie bearbeitet werden (z. B. die Weiter- gabe von personenbezogenen Daten an Dritte) und wie lange diese Daten auf- bewahrt werden. Die Betroffenen können ihre Einwilligung für eine Datenbearbeitung nur dann rechtsgültig abgeben, wenn sie den Umfang der beabsichtigten Datenbearbei- tung vollständig kennen. Der Bearbeitungszweck muss bereits aus dem Begleit- brief und zudem aus einer präzis formulierten und an einem gut sichtbaren Ort des Antragsformulars plazierten Einwilligungsklausel erkennbar sein. Transparenz bei Bearbeitung von Personendaten ist ein grundlegendes Erfor- dernis des Datenschutzes und stellt darüber hinaus auch eine unverzichtbare vertrauensbildende Voraussetzung im Geschäftsverkehr dar. In Bezug auf den Umfang des Auskunftsrechts wollen wir an dieser Stelle nochmals ausdrücklich festhalten, dass das Marktforschungsunternehmen der auskunftsersuchenden Person sämtliche Daten, die über sie bearbeitet werden, mitteilen muss. Neben den Konsumdaten und den in diesem Zusammenhang erstellten Marktanalysen (Zugehörigkeit zu bestimmten Konsumentengruppen) gehören auch die Kriterien, wonach die potenziellen Testpersonen ausgewählt wurden ebenso dazu wie die Daten, die dem jeweiligen Marktforschungsunter- nehmen sonst noch z.B. durch Ausfüllen des Antragsformulars zur Verfügung gestellt werden.
Tätigkeitsbericht 1999/2000 des EDSB 62 11.2.Merkblatt über unerwünschte e-mail Werbung (Spamming) Dieses Merkblatt gibt einen Überblick über technische und rechtliche Möglich- keiten um sich gegen unerwünschte e-mail Werbung zu schützen. Siehe dazu Anhang Seite 108. 12.Statistik 12.1. Datenschutz und die statistische Verwendung von Personendaten: Zukunftsperspektiven Grundsätzlich können Personendaten praktisch schrankenlos für statistische Zwecke verwendet werden. Sowohl Datenschutzgesetz (DSG) wie auch Bundesstatistikgesetz (BStatG) sehen erleichterte Bedingungen für die Verwendung von Personendaten vor. Die wichtigste Voraussetzung ist das Zweckbindungsgebot, das sowohl für die Statistik als auch für den Datenschutz der fundamentale Grundsatz jeder Datenbearbeitung ist. Das Zweckbindungsgebot besagt, dass Personendaten die einmal für statistische Zwecke erhoben wurden, nicht für andere beziehungsweise administrative Zwecke eingesetzt werden dürfen. In Art. 14 BStatG sieht der Gesetzgeber eine Ausnahme von diesem Grundsatz vor. Nämlich dann, wenn dies entweder ein formelles Gesetz ausdrücklich vorsieht oder der Betroffene schriftlich zuge- stimmt hat. Wir sind der Ansicht, dass in Zukunft bei der Erstellung von zentralen, lücken- losen Verzeichnissen oder Datensammlungen Zurückhaltung geboten ist. Dies aus folgendem Grund: Wenn solche Datensammlungen einmal stehen und sich als Rationalisierungsinstrumente bewährt haben, wird die Rationalisierung schnell und gerne als politisches Präjudiz für die Aufweichung des Zweckbin- dungsgebots herangezogen. Es ist kein Geheimnis, dass die Verwendung von Datensammlungen der Statistik Einsparungen in anderen Bereichen ermögli- chen können. Dadurch werden Begehrlichkeiten geweckt, den im DSG und BStatG verankerten fundamentalen Grundsatz der Zweckbindung aus Rationali- sierungsgründen vermehrt zu durchbrechen, bzw. die Daten für andere admini- strative oder gewerbliche Zwecke zu verwenden. Der Druck auf sogenannte harmlose Datenbanken für eine erweiterte Verwendung der Daten wird daher steigen.
Tätigkeitsbericht 1999/2000 des EDSB 63 Statistische Arbeiten mit Personendaten müssen in Zukunft nachfolgende Krite- rien erfüllen:
Tätigkeitsbericht 1999/2000 des EDSB 64 II. WEITERE THEMEN 1.Data Warehousing Datamining 1.1.Data Warehousing, Datamining und das Zweckbindungsgebot Data Warehousing und Datamining verändern den Ablauf der herkömmlichen Daten- bearbeitungen grundlegend. Mittels dieser Datenbearbeitungsverfahren lassen sich aus zusammengeführten Personendaten wissenswerte Zusammenhänge erkennen. Potenziell nützliche Informationen werden systematisch ausgewertet. Mittels dieser Technologien können datenschutzrechtliche Bestimmungen verletzt werden. Das Zweckbindungsgebot setzt der Bearbeitung von Personendaten mit Hilfe dieser Technologien Grenzen. Mit dem Einsatz von Data Warehousing und Datamining können grosse Men- gen von Daten ausgewertet werden. Das Ziel dabei ist, aus betriebsinternen Daten durch geeignete Aufbereitung und Analyse Informationen etwa über das Verhalten der Kunden zu extrahieren. Es können neue Erkenntnisse über Perso- nen gewonnen werden, die nichts mehr mit dem ursprünglich angegebenen Da- tenbearbeitungszweck zu tun haben. Die Resultate solcher Datenbearbeitungen werden auch eingesetzt, um das Verhalten von Kunden zu prognostizieren. Im Extremfall könnte ein Kunde mit einer auf ihn individuell zugeschnittenen Massnahme angesprochen werden. Die Daten stehen also nicht mehr aus- schliesslich in Zusammenhang mit dem Zweck, zu dem sie ursprünglich erho- ben wurden, sondern sie dienen darüber hinaus allen weiteren Verwendungs- zwecken, die gerade bestehen oder zukünftig bestehen könnten. Dieses zusätzliche Wissen, dessen Zweckbestimmung erst bei der Auswertung definiert wird, ist mit dem Zweckbindungsgebot nicht vereinbar. In solchen Fällen ist auch eine Einwilligung des Betroffenen bei der Erhebung der Daten nicht wirksam, weil der Verwendungszweck nicht präzis festgelegt werden kann. Der Betroffene ist somit nicht mehr in der Lage, Datenbearbeitungen über seine Person zu kontrollieren, weil er nicht wissen kann, wie seine Personen- daten ausgewertet werden. Zur Zeit sind solche Datenbearbeitungsmethoden mit den Bearbeitungsgrund- sätzen des Datenschutzgesetzes nicht vereinbar (siehe auch 6. Tätigkeitsbericht 1998/99, S. 114 ff.). Wir empfehlen deshalb den Unternehmen, die Data Warehousing und Data- mining oder vergleichbare Verfahren einsetzen möchten, zuerst die Vereinbar- keit der Datenbearbeitung mit dem Zweckbindungsgebot zu prüfen. Unter- nehmen müssten sicherstellen, dass die Betroffenen über den Umgang mit ihren Daten klar informiert sind und diesen auch kontrollieren können. Das hätte zur Folge, dass aus den elektronisch bearbeiteten Personendaten stets nur Informa-
Tätigkeitsbericht 1999/2000 des EDSB 65 tionen erzeugt werden dürfen, über welche die Betroffenen informiert wurden, beziehungsweise die vom Erhebungszweck gedeckt sind. 2.Kundenkarte 2.1.Herausgabe von Kundenadressen an den Untersuchungsrichter Wer seine M-Cumulus-Kassenquittung in einen Abfallsack wirft, der nicht sachgerecht entsorgt wird, muss damit rechnen, dass die Untersuchungsbehörden seine Adresse her- ausfinden. Der Kunde willigt im Antrag für eine M-Cumulus Karte grundsätzlich nur in die Bearbeitung durch die Migros ein. Dennoch kann ein Untersuchungsrichter von Ge- setzes wegen bei der Migros verlangen, dass ihm Name und Adresse einer angezeigten Person bekanntgegeben werden. Ein Inhaber einer M-Cumulus-Karte warf seine Kassenquittung (mit aufge- druckter M-Cumulus-Nummer) zuhause in den Abfallsack, der ohne Vignette an einem Waldrand entsorgt wurde. Zwecks Ermittlung der Täterschaft wandte sich der Untersuchungsrichter an die Migros als Inhaberin der Datensammlung und verlangte die Bekanntgabe von Name und Adresse des mutmasslichen Tä- ters. Die Migros wusste nicht, ob sie diese Personendaten dem Untersuchungs- richter bekanntgeben durfte oder nicht. Denn in den Anträgen für Kundenkarten hatte sie sich verpflichtet, die Daten nur innerhalb der Migrosgemeinschaft zu Marketing- oder Statistikzwecken zu bearbeiten und nicht an aussenstehende Dritte weiterzugeben. Unter welchen Umständen die Bekanntgabe von Personendaten an einen Unter- suchungsrichter gerechtfertigt war, muss unter dem Gesichtspunkt des Zeugnis- verweigerungsrechts geprüft werden. Grundsätzlich geniessen nur Geistliche, Rechtsanwälte, Verteidiger, Notare, Revisoren und Medizinalpersonen sowie deren Personal ein Zeugnisverweigerungsrecht (Art. 321 Strafgesetzbuch, StGB). Alle anderen Personen, die einer gesetzlichen oder vertraglichen Ge- heimhaltungspflicht unterstehen, sind in der Regel gehalten, in strafrechtlichen Verfahren auszusagen, sofern eine Strafprozessordnung keine besonderen Aus- nahmen kennt. In der Strafprozessordnung des entsprechenden Kantons ist vor- gesehen, dass Personen im Sinne von Art. 321 StGB zum Zeugnis nicht ver- pflichtet werden können. Das Zeugnis verweigern könnten überdies Beamte hinsichtlich des Amtsgeheimnisses, sofern die vorgesetzte Behörde der Einver- nahme nicht zugestimmt hat. Private Personen wie die Migros werden indes nicht genannt. Aufgrund dieser Gesetzeslage sind wir zum Schluss gekommen, dass die Bekanntgabe von Name und Adresse eines Kundenkarteninhabers an- hand seiner Kundenummer an den verfügenden Untersuchungsrichter gerecht- fertigt ist.
Tätigkeitsbericht 1999/2000 des EDSB 66 3.Einwilligungsklauseln 3.1.Anforderungen an Einwilligungserklärungen Eine Datenbearbeitung ist u. a. dann nicht widerrechtlich, wenn eine Einwilligung vor- liegt. Die Einwilligung muss gewisse Anforderungen erfüllen. Die Praxis zeigt jedoch, dass viele Einwilligungserklärungen ungenügend sind. Jeder Bürger entscheidet selber über seine Daten (Recht auf informationelle Selbstbestimmung). Das Selbstbestimmungsrecht soll den Betroffenen in die Lage versetzen, einen Überblick über die Bearbeitung seiner Personendaten zu behalten. Dasselbe gilt auch dann, wenn er die Einwilligung in die Bearbeitung seiner Daten gibt. Eine Datenbearbeitung ist dann nicht widerrechtlich, wenn ein Rechtfertigungs- grund vorliegt. Zu den Rechtfertigungsgründen gehört auch die Einwilligung des Betroffenen. Sie spielt insbesondere in der Privatwirtschaft eine immer grössere Rolle. Definitionsgemäss ist die Einwilligung jede Willenserklärung, die ohne Zwang für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die be- troffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, be- arbeitet werden. Die Einwilligung kann eine ausdrückliche sein. Die ausdrückliche Einwilligung ist an keine Form gebunden, sie kann also mündlich oder schriftlich erfolgen. Die Einwilligung kann auch konkludent erfolgen, d. h. sie ergibt sich aus den gesamten Umständen und offenkundig. Stillschweigen bedeutet jedoch nicht grundsätzlich konkludente Zustimmung. Im Weiteren kann die Einwilligung - etwa bei momentaner Urteilsunfähigkeit - eine mutmassliche sein. Konsequenz des Selbstbestimmungsrechts ist es, dass der Betroffene seine Ein- willigung freiwillig gibt. Ob und inwiefern die Freiwilligkeit in der Praxis durchsetzbar ist, bleibe dahingestellt. Die Praxis zeigt jedoch, dass überall dort, wo wirtschaftliche Machtverhältnisse bestehen, eine freiwillige Einwilligung grundsätzlich illusorisch ist. Es ist etwa fraglich, ob die im Rahmen von Lehr- lingsrekrutierungen durchgeführten «Urinproben» tatsächlich freiwillig sein können [vgl. auch 6. Tätigkeitsbericht 1998/99, S. 68-70). Selbst wenn auf die Freiwilligkeit dieser Tests hingewiesen wird, wird der angehende Lehrling ei- nem solchen Test grundsätzlich zustimmen. Schliesslich ist es heute nicht ein- fach, überhaupt ein Lehrstelle zu finden. Im Weiteren ist eine Einwilligung jederzeit widerrufbar. Dies ist die Folge des informationellen Selbstbestimmungsrechts, welches als absolutes Recht gegen jedermann und jederzeit durchsetzbar ist. Wesentlich sind auch die datenschutzrechtlichen Grundsätze. Der Grundsatz der Zweckbindung besagt, dass Daten nur zu dem vorgesehenen Zweck bearbeitet werden dürfen. Die Einwilligung kann jedoch zu einer Zweckänderung führen.
Tätigkeitsbericht 1999/2000 des EDSB 67 Will eine Versicherung die Daten ihrer Kunden für weitere Zwecke wie «Cross- Selling» bearbeiten, hat sie vorher die Einwilligung der Betroffenen einzuholen. Entscheidend für eine gültige Einwilligung ist jedoch, dass der Betroffene die Tragweite (v. a. Umfang und Zweck) der Einwilligung erkennt. Je sensibler die Daten sind, desto höhere Anforderungen sind an die Transparenz der Einwilligung zu stellen. In der mangelnden Transparenz der Einwilligungser- klärungen liegt denn auch das Hauptproblem in der Praxis. Die oft verwendeten «Generalvollmachten» sind im Inhalt pauschal und lassen die Reichweite der Datenbearbeitung nicht erkennen. Bei solchen standardisierten Einwilligungsklauseln besteht die Gefahr, dass sie zur reinen Formalität absinken. Insbesondere genügen diese Vollmachten grundsätzlich nicht, die Ärzte – wie in der Versicherungsbranche üblich - von ihrer beruf- lichen Schweigepflicht zu entbinden. Die Einwilligung hat grundsätzlich für jeden Einzelfall zu erfolgen (vgl. auch 6. Tätigkeitsbericht 1998/1999, S. 83/84). Bearbeitet ein Unternehmen Personendaten mittels moderner Technologien (Data Warehousing, Datamining etc.) ist es sehr fraglich, ob sich die Betroffe- nen ihrer Einwilligung überhaupt bewusst sind. Denn bei solchen Methoden ist der Zweck der Datenbearbeitung grundsätzlich nicht voraussehbar (vgl. auch 6. Tätigkeitsbericht 1998/99, S. 114-116 und S. 64 des vorliegenden Berichtes). Schliesslich darf der Umfang der Einwilligung die Betroffenen in ihrer Freiheit nicht übermässig beschränken. Mit anderen Worten: Die Datenbearbeitung muss für den jeweiligen Zweck geeignet und nötig sein (Grundsatz der Verhält- nismässigkeit). Es ginge z. B. zu weit, wenn eine Einwilligung einen Arzt er- mächtigen würde, jede Anfrage über den Gesundheitszustand des Betroffenen zu beantworten. Auch wäre es unverhältnismässig, wenn der Arzt für alle Zu- kunft darüber Auskunft erteilen dürfte. 4.Datenschutz und Verkehrsunternehmungen 4.1.Das Projekt «EasyRide» der öffentlichen Transportunternehmungen Unter dem Titel «EasyRide» planen die öffentlichen Transportunternehmungen der Schweiz das elektronische Ticket einzuführen. Jeder soll bequem mit seiner Chipkarte herumreisen können und grundsätzlich erst später für seine Fahrten bezahlen. Damit verbunden sind umfangreiche Bearbeitungen von Personendaten. Bereits zu Beginn des Jahres 1998 wurden wir im Zusammenhang mit dem Vorhaben kontaktiert und hatten mehrfach Gelegenheit, uns zu informieren und uns über die datenschutzrechtlichen Rahmenbedingungen zu äussern.
Tätigkeitsbericht 1999/2000 des EDSB 68 In letzter Zeit werden in immer mehr Lebensbereichen Spuren hinterlassen (bei Videokameras, Geldbezug am Automaten, Einkauf mit Kundenkarten, Tele- kommunikation etc.). Dies führt dazu, dass sich die Sphäre, in der sich der Mensch frei und unbeobachtet bewegen kann, immer kleiner wird. Aus Sicht des Persönlichkeitsschutzes gilt es daher möglichst zu vermeiden, zusätzliche Datensammlungen anzulegen und Auswertungen vorzunehmen. Angesichts der Risiken für die Privatsphäre stellt sich die Frage der Verhältnismässigkeit zwischen den Interessen der Dateninhaber und der potenziellen Persönlich- keitsverletzung. Die verfassungsmässig ausdrücklich garantierte Bewegungsfreiheit als Teil der persönlichen Freiheit beinhaltet nicht nur das Recht, sich frei bewegen zu kön- nen, sondern auch das Recht, dabei nicht systematisch beobachtet zu werden. Eine permanente und vollständige Erfassung des Bewegungsverhaltens kann dieses stören und einschränken. Im Zusammenhang mit dem Projekt «EasyRide» der schweizerischen Trans- portunternehmungen ist vorgesehen, detaillierte personenbezogene Daten über die (bis anhin anonyme) Nutzung des öffentlichen Verkehrssystems zu bear- beiten. Dabei handelt es sich u.a. um die Ein-, Ausstiegsorte sowie Zeitangaben und Abrechnungsdaten. Daraus können exakte Bewegungsprofile entstehen d.h. es wird registriert, wer wann mit welchem Verkehrsmittel wohin gefahren ist und zu welchem Preis. Diese Daten können bereits bei einer geringen Nutzung der öffentlichen Verkehrssysteme zu Persönlichkeitsprofilen werden. Persön- lichkeitsprofile sind vom Datenschutzgesetz speziell geschützt. Ihre Bearbei- tung ist nur unter bestimmten Bedingungen möglich. Das Nutzungsverhalten von Millionen von Kunden des öffentlichen Verkehrs- systems kann auch mit weiteren Techniken (z.B. Datamining) analysiert sowie mit andern Daten verknüpft werden und so neue Erkenntnisse gewonnen wer- den. Für die betroffenen Personen sind solche Bearbeitungen vielmals schwer zu erkennen. Auch wenn sie informiert werden, ist das Ausmass der möglichen Datenbearbeitungen oft kaum vorstellbar. Aus den im Datenschutzgesetz aufgeführten Grundsätze lassen sich folgende Anforderungen an «EasyRide» ableiten:
Tätigkeitsbericht 1999/2000 des EDSB 70 sen Daten soll zudem eine öffentlich zugängliche Datenbank erstellt werden. Das entsprechende Gesetz (Knox Bill) ist seit dem 8. Oktober 1999 in Kraft. Eine schweizerische Versicherungsgesellschaft wollte wissen, ob die Daten- weitergabe in die USA zulässig sei. Personendaten dürfen nur dann ins Ausland bekanntgegeben werden, wenn die Persönlichkeit der betroffenen Personen nicht schwerwiegend gefährdet wird. Das Fehlen eines Datenschutzes, welcher mit dem schweizerischen gleichwertig ist, gilt als eine schwerwiegende Persönlichkeitsverletzung. Der EDSB führt eine Liste mit denjenigen Staaten, die einen dem schweizerischen gleich- wertigen Datenschutz haben. Unbestritten in diesem Zusammenhang ist, dass die USA über kein gleichwertiges Datenschutzniveau verfügen. Es ist also von einer schwerwiegenden Persönlichkeitsverletzung auszugehen, wenn Personen- daten aus der Schweiz nach Kalifornien weitergegeben werden. Dort jedoch, wo die ausländische Rechtsordnung keine genügenden Daten- schutzgarantien bietet, können die nötigen Schutzvorkehren auf vertraglichem Wege getroffen werden. Mit der Vertragslösung sollen die Persönlichkeits- rechte der Betroffenen auch im Ausland garantiert werden. Der Europarat hat diesbezüglich einen Mustervertrag erarbeitet, welcher als Grundlage für den grenzüberschreitenden Datenverkehr dienen kann (vgl. auch 3. Tätigkeitsbericht 1995/96, S. 80-84, 124-128). Am Rande sei noch vermerkt, dass Daten- sammlungen, die ins Ausland übermittelt werden, beim EDSB angemeldet wer- den müssen. Ob die Knox Bill eine Schlechterstellung zum schweizerischen DSG bedeutet, kann vom EDSB nicht beurteilt werden. Bevor jedoch – wie offensichtlich vor- gesehen – Kalifornien die Personendaten in einer Datenbank öffentlich zu- gänglich machen darf, sind sämtliche Massnahmen zu treffen, die weniger weit in die Persönlichkeitsrechte der Anspruchsberechtigten eingreifen (Grundsatz der Verhältnismässigkeit). Insbesondere sind vorher alle möglichen Anstren- gungen zu unternehmen, damit die Anspruchsberechtigten direkt kontaktiert werden können. In diesem Sinne haben wir uns auch betreffend die nachrich- tenlosen Vermögenswerte bei den Banken geäussert (vgl. 5. Tätigkeitsbericht 1997/98, S. 76/77). Falls jedoch ein gleichwertiges Datenschutzniveau in den USA nicht garantiert werden kann, insbesondere deshalb, weil die Knox Bill zu einer Schlechter- stellung der Persönlichkeitsrechte führt, ist eine Weitergabe von Personendaten in die USA nicht gestattet.
Tätigkeitsbericht 1999/2000 des EDSB 71 6.Bekanntgabe von Personendaten 6.1.Internationaler Strafgerichtshof für das ehemalige Jugoslawien Das Eidgenössische Departement für auswärtige Angelegenheiten (EDA) wurde vom Internationalen Strafgerichtshof für das ehemalige Jugoslawien (ICTY) aufgefordert, ein Verfahren zur Identifizierung potentieller Zeugen der Geschehnisse im Kosovo zu entwickeln. Das EDA ersuchte uns um eine Stellungnahme zu den relevanten daten- schutzrechtlichen Aspekten. Wir schlugen einen Prozess vor, der auf der freien Ein- willigung der Personen, Informationen über sie zu übermitteln, sowie auf der Vertrau- lichkeit der gelieferten Daten beruht. Auf der Grundlage unserer Überlegungen stimmte das EDA einer Zusammenarbeit mit dem ICTY unter Berücksichtigung der Daten- schutzauflagen zu. Im April 1999 ersuchte der Internationale Strafgerichtshof für das ehemalige Jugoslawien (ICTY) das Eidgenössische Departement für auswärtige Angele- genheiten (EDA), ein Verfahren zur Identifizierung potentieller Zeugen der Ge- schehnisse im Kosovo zu erarbeiten. Daraufhin bat uns das EDA, zu den rele- vanten Aspekten des Datenschutzes – vor allem zum Verteilen und Einsammeln von Fragebögen bei Personen aus dem Kosovo – Stellung zu nehmen. Der ICTY forderte die schweizerischen Bundesbehörden im Rahmen seines Gesuchs auf, bei den kosovarischen Flüchtlingen, die in unserem Land aufgenommen wurden, ein Verfahren zur Identifizierung der unmittelbaren Zeugen von im Kosovo begangenen Verbrechen einzuführen ; dazu erhalten diese Personen einen Fragebogen, der dem ICTY die erforderlichen Beweiselemente zur Ver- urteilung der Urheber von gravierenden Verletzungen des humanitären Rechts vermittelt. Mit Blick auf den Datenschutz liegt der entscheidende Punkt des künftigen Ver- fahrens in der Entscheidungsfreiheit der betroffenen Personen, den Fragebogen, der ihnen ausgehändigt wird, auszufüllen und an das ICTY zurück zu senden und damit Personendaten über sie zu liefern. Eine unverzichtbare Ergänzung zu dieser Einwilligung bildet die Information, die diesen Personen erteilt wird. Vor allem müssen sie über den Zweck des Fragebogens und die freie Entscheidung, ihn auszufüllen oder nicht, informiert werden. Mit der Einwilligung der betrof- fenen Personen könnte ausserdem das Problem der Zusammenarbeit mit den Asylkoordinierungsstellen geregelt werden, welche denjenigen Personen, die den Fragebogen ausfüllen wollen, helfen. Bei einer freiwilligen Teilnahme würde die Rücksendung der ausgefüllten Fragebögen an den ICTY den betrof- fenen Personen überlassen, wobei die Hilfswerke sie gegebenenfalls unter- stützen würden. Im Übrigen wäre es auch denkbar, dass das BFF die aus-
Tätigkeitsbericht 1999/2000 des EDSB 72 gefüllten Fragebögen einsammelt, vorausgesetzt, dass dies zum aus- schliesslichen Zweck der zentralisierten Weitergabe an das ICTY geschieht. Daher befürworteten wir das geplante Verfahren, wonach das BFF den Frage- bogen verteilt, zusammen mit einem Erklärungsblatt des EDA über das Ziel des Vorgehens, die freie Zustimmung der betroffenen Personen betreffend das Aus- füllen und gegebenenfalls über die Rücksendungsart an den ICTY. Dagegen wiesen wir auch auf mögliche datenschutzrechtliche Probleme hin, falls der künftige Prozess beinhalten soll, dass die ausgefüllten Fragebögen einge- sammelt, vor der Weitergabe an den ICTY kopiert und gegebenenfalls von an- deren Bundesbehörden (z.B. dem Bundesamt für Polizei oder dem Oberauditor) bearbeitet werden. Ein solches Vorgehen würde den Grundsätzen der Zweck- bindung und der Gesetzmässigkeit nicht mehr entsprechen und ausserdem den Rahmen des spezifischen Gesuchs des ICTY sprengen. Unter Berücksichtigung unserer Stellungnahme erklärte das EDA in seiner Antwort an den ICTY, die schweizerische Regierung erkenne die Wichtigkeit dieses Fragebogens für die Ermittlungen des ICTY. Es habe beschlossen, den Strafgerichtshof durch die Abgabe des Fragebogens an kosovarische Staatsan- gehörige, die in die Schweiz einreisen und unter das Mandat des ICTY fallen, zu unterstützen. Ausserdem teilte das EDA mit, der Fragebogen werde im Ein- klang mit den schweizerischen Datenschutzgesetzen von den betroffenen Per- sonen nur auf freiwilliger und vertraulicher Grundlage ausgefüllt und von ihnen selbst direkt an den ICTY nach Den Haag zurückgesandt. Der ICTY dankte dem EDA für den kooperativen Lösungsvorschlag und sicherte zu, die Freiwilligkeit und Vertraulichkeit hinsichtlich der vom Verfahren betroffenen Personen voll zu anerkennen. 6.2.Bekanntgabe der Personalien von Verkehrssündern an ausländische Behörden Wer hat nicht schon einmal im umliegenden Ausland falsch parkiert oder ist einfach zu schnell gefahren? In diesem Zusammenhang stellte sich u.a. die Frage, ob es den schweizerischen Behörden gestattet ist, ausländischen Polizeibehörden aufgrund eines schweizerischen Autokennzeichens die Personalien der Verkehrssünder bekannt zu ge- ben? Wir wurden mehrfach von Personen, die per Post eine Bussenverfügung einer ausländischen Polizeibehörde wegen Verletzung von Verkehrsvorschriften er- halten hatten, angefragt, auf welchem Weg diese Behörde wohl zu ihrer Adresse gekommen war, ob dies überhaupt rechtens sei und schliesslich, ob sie einer solchen Bussenverfügung überhaupt Folge leisten müssten?
Tätigkeitsbericht 1999/2000 des EDSB 73 Gemäss Datenschutzgesetz dürfen Bundesorgane Personendaten grundsätzlich nur dann an Dritte bekannt geben, wenn dafür eine ausreichende gesetzliche Grundlage existiert oder die Daten für den Empfänger im Einzellfall zur Erfül- lung seiner gesetzlichen Aufgaben unentbehrlich sind (19 Abs. 2 DSG). Anson- sten muss in jedem Fall eine Einwilligung des Betroffenen eingeholt werden. Soweit die Schweiz mit dem jeweiligen ausländischen Staat einen Vertrag über Rechtshilfe in Strafsachen abgeschlossen hat – was vorliegend bei sämtlichen Nachbarstaaten der Fall ist – so ist das Erfordernis einer ausreichenden Rechts- grundlage gegeben und somit aus datenschutzrechtlicher Sicht gegen die Be- kanntgabe der Adresse nichts einzuwenden. Aus der Rechtsgrundlage muss hervorgehen, welche schweizerische Behörde an welche ausländische Behörde, welche Daten zu welchem Zweck bekannt geben darf. Ob eine Bussenverfügung zu Recht ergangen ist oder nicht, ist jedoch nicht eine Datenschutzfrage, sondern muss nach Massgabe der einschlägigen Strassenverkehrs- und Strafrechtsnormen geprüft werden. 7.Transparenzprinzip 7.1.Transparenzprinzip und Datenschutz Information und Kommunikation bilden zwei Wesensmerkmale des ausgehenden Jahr- hunderts. Auf der Schwelle zum XXI. Jahrhundert ist die Informationsgesellschaft für alle Wirklichkeit geworden. Beherrschten in der Vergangenheit der Kult des Geheimen und das Fehlen von Transparenz unsere Gesellschaften, so findet heute eine Trend- wende statt. Die Verwaltung verhält sich transparenter, die Einzelpersonen geniessen das Recht auf Achtung ihres Privatlebens. Der freie Zugang zu Information und zu Do- kumenten der Verwaltung sowie das Recht auf Datenschutz sind zwei Imperative in einer Demokratie und spielen für die Entstehung einer bürgernahen Informations- gesellschaft eine unerlässliche Rolle. In der Schweiz befindet sich ein Gesetzesentwurf über die Transparenz von Verwaltungsdokumenten in der Vernehmlassung. Ausserdem leiteten die schweizerischen Datenschutzbeauftragten anlässlich ihrer 6. nationalen Kon- ferenz eine Diskussion zur Beziehung zwischen Datenschutz und Transparenz ein. Das Prinzip der Transparenz ist in zahlreichen Ländern bekannt (insbesondere Australien, Belgien, Dänemark, Finnland, Frankreich, Vereinigte Staaten und Kanada). Schweden hatte mit der Einführung des Grundsatzes vor über zwei- hundert Jahren Pionierarbeit geleistet. Zudem haben viele – vor allem europäische – Staaten Datenschutzgesetze verabschiedet (die 15 Mitgliedstaaten der Europäischen Union, Norwegen, Island, Polen und Slowenien). Ungarn und Québec führten Gesetze ein, welche den Informationszugang und den Daten-
Tätigkeitsbericht 1999/2000 des EDSB 74 schutz regeln. In der Schweiz wurden die ersten Datenschutzgesetze Anfang der 70er Jahre verabschiedet. Neben dem Bund verfügen heute 17 Kantone über solche Gesetze. Dagegen steckt die Einführung des Transparenzgrundsatzes erst in den Anfängen. Einzig der Kanton Bern hat ein einschlägiges Gesetz einge- führt. Der Gesetzgebungsprozess ist jedoch bereits im Gange. Der Bund bereitet ein Gesetz vor, das sich im Moment in der Vernehmlassung befindet, und auch mehrere Kantone (darunter Genf und Tessin) arbeiten an Gesetzesentwürfen. Der Kanton Solothurn beabsichtigt, ein Gesetz zu verabschieden, das den Datenschutz und den Zugang zu Dokumenten der Verwaltung regelt. Die Einführung des Transparenzgrundsatzes in der Bundesverwaltung wird ei- nen Wandel in der Verwaltungskultur herbeiführen. Heute ist Geheimhaltung die Regel, Zugang zu Information die Ausnahme. Mit der Annahme des Gesetzesentwurfs wird jedermann das Recht zustehen, ohne Nachweis besonderer Interessen und grundsätzlich unentgeltlich Einsicht in amtliche Unterlagen zu erhalten. Allerdings herrscht nicht uneingeschränkte Transparenz, Ausnahmen bleiben möglich. So kann der Zugriff namentlich be- schränkt, aufgeschoben oder verweigert werden, wenn ein überwiegendes öf- fentliches oder privates Interesse dagegen spricht. Ein überwiegendes öffent- liches Interesse an der Wahrung der Geheimhaltung liegt vor, wenn ein amt- liches Dokument die freie Meinungs- oder Willensbildung der Behörde merklich beeinträchtigt oder die innere oder äussere Sicherheit der Schweiz ge- fährdet. Ein überwiegendes privates Interesse, den Informationszugang zu ver- weigern, liegt vor, wenn das Dokument das Privatleben schwerwiegend zu beeinträchtigen, Berufs-, Fabrikations- oder Geschäftsgeheimnisse zu enthüllen oder von einem Dritten der Behörde gegen Zusicherung der Geheimhaltung freiwillig gemachte Angaben preiszugeben droht. Ebensowenig wird der Zu- gang zu öffentlichen Dokumenten gewährt, die das Mitberichtsverfahren und die Verhandlungspositionen in laufenden oder künftigen internationalen Ver- handlungen betreffen. Der Zugang zu amtlichen Dokumenten, die Personen- daten beinhalten, untersteht nach wie vor dem Bundesgesetz über den Daten- schutz. Das bedeutet indessen nicht, dass alle Dokumente, die Personendaten beinhalten, dem Transparenzgrundsatz entzogen werden. Die Behörde kann ein Dokument nach dem Anonymisieren (insbesondere durch Abdeckung oder durch Verwendung eines Pseudonyms) zugänglich machen. Der Datenschutzbe- auftragte kann zudem die Bekanntgabe eines Dokument empfehlen, falls das öffentliche Interesse an Transparenz gegenüber dem Interesse an Wahrung der Geheimhaltung überwiegt, selbst wenn die vom DSG für die Datenbekanntgabe vorgesehenen Voraussetzungen nicht erfüllt sind. Schliesslich stellt nicht jedes Dokument, das den Namen einer oder zweier Personen enthält, allein deswegen ein Dokument mit Personendaten dar. Die Informationen müssen sich auf eine oder mehrere identifizierte oder identifizierbare Person(en) beziehen, eine Wür- digung oder ein Werturteil über sie oder eine Beschreibung ihres Verhaltens enthalten.
Tätigkeitsbericht 1999/2000 des EDSB 75 Der Gesetzesentwurf sieht ausserdem einen Mechanismus im Fall von Streitig- keiten zwischen der Verwaltung und Bürgern, die Zugang zu einem amtlichen Dokument wünschen, vor. Dazu soll ein Schlichtungsverfahren mit einem un- abhängigen Vermittler eingerichtet werden. Bei Scheitern der Schlichtung er- halten die Bürger eine Entscheidung, mit der sie gegebenenfalls an die Eidge- nössische Datenschutz- und Öffentlichkeitskommission gelangen können. Be- zieht sich die Streitigkeit auf ein Dokument, das Personendaten enthält, so tritt der Eidgenössische Datenschutzbeauftragte als Vermittler auf. Zwischen dem Transparenzgrundsatz, der das Postulat der Öffentlichkeit bein- haltet, und dem Datenschutz, der die Achtung des Privatlebens der Personen, über die Daten bearbeitet werden, gewährleistet, besteht mitunter ein Span- nungsfeld, das aufgehoben werden muss. Es handelt sich nämlich um zwei gleichwertige Rechte, die in einem Gleichgewicht zu halten sind. Die beiden demokratischen Imperativen sollten einander nicht ausschliessen, sondern er- gänzen. Daher muss im Einzelfall abgewogen werden, ob das Interesse an Tran- sparenz gegenüber der Achtung der Privatsphäre überwiegt oder ob die Wah- rung der Vertraulichkeit der Verbreitung von Informationen entgegensteht. Mittels einer Interessensabwägung ist daher zu prüfen, ob die Vorteile des einen Rechts gegenüber den Nachteilen und Risiken des anderen überwiegen. In unse- ren Gesellschaften bringt der demokratische Alltag es bisweilen mit sich, dass bestimmte von öffentlichen Stellen bearbeitete Personendaten allgemein zu- gänglich und kontrollierbar sind. Das Transparenzerfordernis und das Recht des Einzelnen auf Zugang zu amtlichen Dokumenten sind auch in den Risiken der Informations- und Kommunikationstechnologien begründet. Der Transparenz- grundsatz soll als Absicherung gegen die zahllosen Datenbearbeitungen in der Verwaltung, die das Recht auf eine Privatsphäre beeinträchtigen, dienen. Der Eidgenössische Datenschutzbeauftragte begrüsst die Verabschiedung eines Bundesgesetzes über die Transparenz der Verwaltung, welches die demokra- tischen Abläufe und das Vertrauen der Bürger in die Verwaltung festigt. Der Datenschutzbeauftragte beurteilte den aktuellen Entwurf als ausgewogen, selbst wenn einige Einschränkungen des Zugangsrechts zu absolut formuliert sind. Ausserdem befürwortet er die Einsetzung eines Vermittlers, würde es jedoch vorziehen, dass dieses Amt ebenfalls ihm anvertraut wird, da die Aufgaben und Fragen sich ähneln und da Streitigkeiten häufig im Zusammenhang mit Gesu- chen um Zugang zu Unterlagen mit Personendaten auftreten dürften. Diese Lö- sung, die in Québec gewählt wurde, hat sich gut bewährt und insbesondere ein besseres Abwägen der jeweiligen Interessen ermöglicht ; ausserdem verursacht sie geringere Kosten. Der Eidgenössische Datenschutzbeauftragte schliesst nicht aus, dass der Gesetzesentwurf und das Datenschutzgesetz in relativ naher Zukunft zusammengefasst werden müssen. Schliesslich verweist er auf die Ge- fahr, dass der Transparenzgrundsatz mangels geeigneter Garantien der Daten- vermarktung Vorschub leistet. Insbesondere das Internet führt zu einer
Tätigkeitsbericht 1999/2000 des EDSB 76 grösseren Verbreitung der Daten und somit zu einer Beeinträchtigung der Privatsphäre. Die Vernehmlassung zum Gesetzesentwurf hat am 19. April 2000 begonnen. 8.Datenschutz und rechtliche Rahmenbedingungen 8.1.Kriterien für den Schutz der Privatsphäre mittels Verhaltensregeln Verhaltensregeln haben in der elektronischen Geschäftswelt neben gesetzlichen Regulie- rungen ihren Platz eingenommen. In der Zukunft wird es nicht darum gehen, ob man Gesetze anstelle von Verhaltensregeln erlassen soll. Vielmehr muss ein Umfeld geschaffen werden, indem auch die Verhaltensregeln dem Benutzer und Konsumenten einen wirksamen Schutz (insbesondere der Privatsphäre) gewähren. Verhaltensregeln können für die Vertrauensbildung durchaus nützlich sein. Aber trotzdem bilden Verhaltensregeln keine Alternative zu Gesetzen; sie sind lediglich eine Ergänzung zu gesetzlichen Bestimmungen. Es muss darauf hingearbeitet werden, dass solche Verhaltensregeln mindestens folgende Elemente enthalten:
Tätigkeitsbericht 1999/2000 des EDSB 77 arbeiten. In unserer Beratungstätigkeit konnten wir in den Projektplanungsphasen Schwachstellen bei der Umsetzung von Datenschutz- und Datensicherheitsmassnahmen ausfindig machen. Die Datensicherheit kann grundsätzlich mit Vertraulichkeit, Integrität und Ver- fügbarkeit umschrieben werden. Wir haben festgestellt, dass die Verfügbarkeit von Systemen heute keine grösseren Probleme mehr darstellt, wenn nicht Viren oder andere mutwillige Manipulationen das System in seiner Funktionalität be- einträchtigen. Der Grund der heute doch enorm hohen Verfügbarkeit sehen wir darin, dass eine Nichtverfügbarkeit von Systemen auch von den Geschäftslei- tungen sofort erkannt wird. Dies hat zur Folge, dass die Leitungsorgane mit dem Leiter Informatik Kontakt aufnehmen, um abzuklären, wie solche Vorfälle in Zukunft vermieden werden können. In den Bereichen Vertraulichkeit und Integrität ist die Situation komplexer. In diesem Umfeld empfiehlt es sich, Be- rater für Datenschutz- und Datensicherheitsbelange beizuziehen. Ein Projekt wird immer mit Hilfe einer Projektorganisation realisiert. Die Ver- antwortlichen für Datenschutz- und Datensicherheitsbelange müssen in diese Projektorganisation integriert sein. Das Projekt selber wird gemäss HERMES (Standard für die Führung und Abwicklung von Projekten in der Bundesver- waltung) grundsätzlich in Planungsphasen (Voranalyse, Konzept) sowie die Realisierungs- und Einführungsphase unterteilt. In den Berichten Voranalyse und Konzept müssen Angaben zum Datenschutz und zur Datensicherheit gemacht werden. Wir haben festgestellt, dass in vielen Fällen keine Angaben zu diesen qualitativen Vorgaben gemacht werden. Die Direktionen schenken diesem Aspekt nach wie vor zuwenig Beachtung. Dies, obwohl sie daran interessiert sein müssten, dass Datenschutz- und Datensicher- heitsanliegen ernst genommen und intern diskutiert und umgesetzt werden. Denn es ist immer wieder ein Imageschaden, wenn Datenschutz- oder Sicher- heitsverletzungen an die Öffentlichkeit gelangen. Die Geschäftsleitungen müs- sen bei Projekten dafür sorgen, dass bei Freigabeverfahren in den Planungspha- sen Voranalyse und Konzept auch die Verantwortlichen für Datenschutz und Datensicherheit einbezogen werden. Ein Projekt darf nicht weiter fortgeführt werden, ohne dass diese Stellen ihre Einwilligung für die Freigabe der nächsten Phase gegeben haben. Nach Abschluss der Konzeptphase wird ein Pflichtenheft erstellt. Dieses wird aufgrund der geplanten Projektkosten entweder im Schwei- zerischen Handelsamtsblatt publiziert oder den möglichen Lösungsanbietern direkt zugestellt. Dieses Pflichtenheft muss Angaben zu Datenschutz- und Si- cherheitsmassnahmen beinhalten. Bei der Auswahl der eingereichten Offerten bilden Datenschutz- und Datensicherheitsmassnahmen Auswahlkriterien. Diese Kriterien sind Rahmen- bedingungen und als solche als Muss-Zielsetzungen zu beachten. Dies insbe- sondere dann, wenn sensitive Daten oder Systeme betroffen sind.
Tätigkeitsbericht 1999/2000 des EDSB 78 Die Verantwortlichen für Datenschutz und Datensicherheit haben in der Reali- sierungsphase darauf zu achten, dass die geplanten Massnahmen umgesetzt werden. Im Betrieb sind die Datenschutz- und Sicherheitsmassnahmen peri- odisch zu überwachen und allenfalls Nachbesserungen zu beantragen. 9.2.Die Umsetzung der Datenschutzvorschriften erhöht die Transparenz und die Steuerbarkeit von Organisationseinheiten Die Amtdirektion muss ein Interesse daran haben, dass die Prozesse der Aufgabener- füllung dokumentiert sind und dass festgestellt werden kann, welche Informatikmittel welche Prozesse unterstützen. Aufgrund dieser Dokumentation lässt sich nachvollziehen, welche Informationen welchen Aufgabeträgern zu welchen Zwecken zur Verfügung ge- stellt werden. Im Bereich des Datenschutzes bestehen grundsätzlich drei Arten von Verfahren bzw. Abläufen oder Prozessen. Es sind dies die Prozesse der Aufga- benerfüllung, der Auskunftserteilung aufgrund des Auskunftsrechts und der Kontrollen in einem Amt. Bei einem Personalinformationssystem beginnt z. B. ein Prozess der Aufga- benerfüllung mit der Ausschreibung einer Stelle im Stellenanzeiger und dem Eingang der Bewerbungen und deren Behandlung im Personaldienst und mit der Anstellung eines Bewerbers und der Retournierung der Unterlagen an die anderen Bewerber. Weiter sind die Prozesse oder Funktionen, die von den Per- sonaldiensten bei den Angestellten wahrgenommen werden (z. B. Lohnauszah- lungen, Beförderungen, usw.) aufzuzeigen. Die Prozesse sind bis zum Ende der Datenbearbeitung aufzuführen, so dass festgestellt werden kann, wann Infor- mationen nicht mehr benötigt (gelöscht) werden oder dem Bundesarchiv zu übergeben sind. Grundsätzlich muss aus dieser Prozessdokumentation ersichtlich sein, welche Aufgaben von welchen Organisationseinheiten oder Stellen in einem Amt wahrgenommen werden, welche Sachmittel (insb. EDV) bei der Aufgabener- füllung eingesetzt werden und welche Informationen für die jeweilige Aufga- benerfüllung für welche Zwecke notwendig sind. Der Prozess des Auskunftsrechts ist meist einfach aufzuführen. Es ist aufzuzei- gen, wer die Anfrage für die Auskunft entgegennimmt und wer danach welche Tätigkeiten für das Suchen der Unterlagen wahrnimmt und wie die Dokumente über welche Stelle dem Kunden zur Verfügung gestellt werden. Die Kontrollprozesse sind umfassender. Es muss aufgezeigt werden, wie die Verantwortlichen für Datenschutz und Sicherheit ihre Aufgaben wahrnehmen. Die Kontrollfunktionen in den Prozessen oder ganze Kontrollprozesse (bspw. Änderungsverfahren, Zugriffsvergabe, Anwendungen, Ablauf einer Kontrolle
Tätigkeitsbericht 1999/2000 des EDSB 79 im Amt) sind aufzuzeigen. Sind diese Prozesse dokumentiert, so hat man einen Gesamtüberblick über die Organisationseinheit und man kann nachvollziehen, wer welche Aufgaben in welchen Bereichen wahrnimmt (Transparenz in der Organisationseinheit). Ohne diese Dokumente ist eine gute Steuerung der Orga- nisationseinheit kaum möglich. Aus Gründen des Datenschutzes und der Daten- sicherheit fordert der Gesetzgeber zusätzlich die Dokumentation der Konfigu- ration der Informatikmittel sowie der technischen und organisatorischen Daten- sicherungsmassnahmen (siehe auch 5. Tätigkeitsbericht 1997/98 Seite 89). Mit der oben aufgeführten Dokumentation und Umsetzung der Massnahmen erfüllen die Organisationseinheiten die qualitativen Anforderungen, welche die Betroffenen aufgrund der Datenschutzgesetzgebung haben, als auch die Interessen der Amtsführung an einer transparenten und sicheren Unterneh- mensleitung. 9.3.Die Planungs- und Ausschreibungsunterlagen von Informatik- systemen müssen Datensicherheitsmassnahmen zwingend beinhalten Nach den Planungsphasen in einem Informatik-Projekt ist ein Pflichtenheft zu erstellen, in dem die Forderungen für das neu zu erstellende Informationssystem aufzuführen sind. Das Pflichtenheft muss bei sensitiven Systemen auch Sicherheitsanforderungen gemäss dem Stand der Technik beinhalten. Wir haben festgestellt, dass viele namhafte EDV-Lösungsanbieter keine umfassende Sicherheitslösungen für ihre Systeme anbieten können. Im Weiteren müssen wir davon ausgehen, dass in den Pflichtenheften nur wenige Sicherheitsvorgaben aufgeführt sind und dass die Auswahl der Systeme in vielen Fällen ohne die notwendige Gewichtung der Datensicherheit erfolgt. Das Pflichtenheft für ein Informationssystem hat aus Sicht des Datenschutzes und der Datensicherheit u. a. folgendes zu beinhalten:
Tätigkeitsbericht 1999/2000 des EDSB 80 Wir befragten mehrere namhafte EDV-Lösungsanbieter, ob Sicherheits- massnahmen wie z. B. Chiffrierverfahren nachgefragt werden. Es wurde uns mitgeteilt, dass dies eher selten der Fall sei, dass aber zukünftig sicher mehr solcher Verfahren nachgefragt werden. Der Eidg. Datenschutzbeauftragte macht seit Jahren darauf aufmerksam, dass insbesondere bei sensitiven Systemen Chif- frierverfahren einzusetzen sind. Sicherheitsvorkehrungen müssen Bestandteil der Planungs- und Realisierungsphasen eines Projektes sein. Die Erkenntnisse aus diesen Planungsphasen, insbesondere auch aus dem Bereich der Sicherheit, müssen Bestandteil einer Ausschreibung bzw. eines Pflichtenhefts sein. Die Auswahl der Systeme hat nicht nur aufgrund der Funktionalität, sondern auch aufgrund der Sicherheitskriterien zu erfolgen. Rechtliche Vorgaben sind Muss- Zielsetzungen; insbesondere deshalb sind die Sicherheitsvorkehrungen im sensitiven Bereich gemäss dem Stand der Technik umzusetzen. Die normativen Vorgaben werden aber in vielen Fällen nicht eingehalten. Wir machen einmal mehr darauf aufmerksam, dass ohne Datensicherheit der Datenschutz nicht ge- währleistet werden kann. Als Kontrollorgan haben wir bereits mehrmals auf Handlungsbedarf hingewiesen. 9.4.Stand und Umsetzung der Datenschutz- und Sicherheitsmassnahmen im Personalinformationssystem PISEDI Die Arbeiten im Personalinformationssystem PISEDI haben sich weiter verzögert. Dies insbesondere aus Gründen der Belastung der Informatiker wegen der Jahr 2000 Pro- blematik und der Reorganisation der Informatik in der Bundesverwaltung (NOVE-IT). Im dritten Quartal ist der Sicherheitsschlussbericht beim Eidg. Datenschutz- beauftragten eingetroffen. Für die abschliessende Erstellung des Bearbeitungs- reglements fehlen uns noch Unterlagen, diese sollten aber in diesem Jahr zur Verfügung stehen. Bei unseren Gesprächen mit den Verantwortlichen des Systems PISEDI haben wir darauf hingewiesen, dass für die Umsetzung der technischen und organi- satorischen Datensicherheitsmassnahmen als Grundlage das Handbuch Nr. 1 zur Weisung Informatiksicherheit Nr. S02 herangezogen werden soll (siehe auch 6. Tätigkeitsbericht 1998/99 Seite 143). In der Folge wurde das System PISEDI aufgrund des Massnahmenkatalogs bzw. der Checkliste dieser Weisung analysiert. Die Datensicherheit konnte dadurch bereits verbessert werden. Es bestehen aber noch Abweichungen, namentlich bei der Protokollierung als auch beim Einsatz von guten Chiffrierverfahren. Die Leitung des EDI hat den Handlungsbedarf erkannt und will die Informatiksicherheit professionalisieren. Die wichtigsten sicherheitsrelevanten Elemente aus dieser Analyse sollen in der Folge im Bearbeitungsreglement festgehalten werden. Damit ist ein weiterer
Tätigkeitsbericht 1999/2000 des EDSB 81 Bestandteil des Reglements erarbeitet worden. Es fehlen aber noch weitere Teile, die im Verlaufe dieses Jahres abschliessend dokumentiert werden sollen. 10.Militärwesen 10.1. « Bellasi-Affäre »: Datenschutzaspekte Im Zusammenhang mit der « Bellasi-Affäre » nahmen wir auf Anfrage der Geschäfts- prüfungsdelegation Stellung zu Kritiken in der Presse, wonach der Datenschutz die Sicherheitskontrollen begrenze. Die Delegation teilte unsere Auffassung, dass keine datenschutzrechtliche Auflage oder Vorschrift die Durchführung der Sicherheitskon- trollen behindert habe und dass die neuen einschlägigen Regeln sowie die spezifischen, auf den Nachrichtendienst anwendbaren Bestimmungen den heutigen Bedürfnissen vollkommen genügen. Dagegen wies die Delegation darauf hin, dass es sich bei den Kon- trollen um rein formelle und oberflächliche Vorgänge handle, und empfahl dem Bun- desrat, die diesbezügliche Verordnung zu revidieren, um deren Durchführungs- modalitäten zu verbessern. Im Zusammenhang mit der « Bellasi-Affäre » untersuchte die Geschäftsprü- fungsdelegation (GPD) die Regeln betreffend Personensicherheitsprüfungen. Verschiedene Presseartikel erwähnten das Problem der Aufbewahrung von Un- terlagen zu Sicherheitsprüfungen. In bestimmten Artikeln heisst es, dass Akten zu den Sicherheitsprüfungen, denen Bellasi unterzogen wurde, nach fünf Jahren vernichtet worden waren. Dadurch würde der Datenschutz gegenüber den In- teressen des Staatsschutzes zurückgestellt. Aus diesem Grund lag uns daran, die GPD auf bestimmte Punkte aufmerksam zu machen, die bei der Untersuchung der Behauptungen zu berücksichtigen sind. In den letzten Jahren wurden zahlreiche Regelungen zu den Sicherheits- prüfungen entwickelt, welche den Besonderheiten des Militärwesens und der Staatssicherheit stets Rechnung trugen. Diese heiklen Bereiche wurden durch Auflagen des Datenschutzes nie gefährdet. Anfang der 90er Jahre (der Zeit- raum, in dem bestimmte Unterlagen zu den bei Bellasi durchgeführten Sicher- heitsprüfungen offenbar vernichtet wurden) sahen die Verordnungen zu den Si- cherheitsprüfungen die Vernichtung der Akten durch die Kontrollstelle nach Ablauf einer Fünfjahresfrist vor. Anstatt die Akten zu vernichten, konnten sie dem Bundesarchiv übergeben werden, sofern die betroffene Person zustimmte. Für Sicherheitsprüfungen im Militärwesen war ausserdem vorgesehen, dass die Daten während fünf Jahren aufbewahrt und anschliessend vernichtet werden.
Tätigkeitsbericht 1999/2000 des EDSB 82 Ausserdem musste über die Vernichtung ein Protokoll erstellt und zehn Jahre aufbewahrt werden. Schliesslich konnte der Generalstabschef in begründeten Fällen Ausnahmen von der Aufbewahrungsdauer vorsehen. Im vorliegenden Fall verlangte keine datenschutzrechtliche Auflage oder Vorschrift die Ver- nichtung der Akten aus den Sicherheitsprüfungen. Im Gegenteil : Die geltende Regelung zu den Kontrollen enthielt angemessene Vorsichtsmassnahmen zur Garantie der militärischen Sicherheit und zur Gewährleistung der staatlichen Interessen. Die 1990 zur Abklärung der Geschehnisse im Eidgenössischen Militärdepar- tement eingesetzte parlamentarische Untersuchungskommission hatte ausserdem betont, dass die oben erwähnten Regelungen den von ihr gestellten Anforderungen weitgehend entsprachen. Dagegen wurde festgestellt, dass staatliche Eingriffe in grundlegende Persönlichkeitsrechte einer formellen Gesetzesgrundlage bedürften und dass eine einfache Verordnung dazu nicht ausreiche. Die ersten Schritte in diese Richtung mündeten in der Aufnahme ei- ner provisorischen Vorschrift im Bundesgesetz über die Armee und die Militär- verwaltung. Eine genauere formalgesetzliche Regelung wurde mit dem Bundes- gesetz über Massnahmen zur Wahrung der inneren Sicherheit (BWIS) einge- führt, das am 1. Juli 1998 in Kraft trat. Am 20. Januar 1999 wurde die neue Verordnung über die Personensicher- heitsprüfungen verabschiedet. Die ersuchende Stelle kann die Fachstelle beauf- tragen, die Sicherheitsprüfung zu wiederholen, wenn sie Gründe hat anzu- nehmen, dass seit der letzten Kontrolle neue Risiken für die Sicherheit entstan- den sind, oder wenn dies internationale Geheimschutzvereinbarungen vorsehen. Die Aufbewahrungsdauer der Daten wurde von fünf auf zehn Jahre verdoppelt. Ausserdem wurde das Konzept der Vernichtung abgeschafft. So ist vorgesehen, dass die Fachstelle die Akten der Sicherheitsprüfung so lange aufbewahrt, wie die betroffene Person das Amt oder die Funktion ausübt oder den Auftrag bear- beitet, längstens jedoch zehn Jahre. Nach Ablauf dieser Frist bietet sie diese dem Bundesarchiv zur Übernahme an, damit sie archiviert werden können. Schliesslich ist zu betonen, dass im militärischen Nachrichtendienst ergänzende Vorschriften gelten. Das Bundesgesetz über die Armee und die Militär- verwaltung vom 3. Februar 1995 enthält spezifische, auf den militärischen Nachrichtendienst anwendbare Bestimmungen ; danach regelt der Bundesrat die Aufgaben des Nachrichtendienstes im Einzelnen, dessen Organisation sowie den Datenschutz. Gemäss der Verordnung über den Nachrichtendienst vom 4. Dezember 1995, die auf dieser spezifischen Gesetzesgrundlage beruht, darf der Nachrichtendienst die erforderlichen Informationen einschliesslich personenbe- zogener Daten erheben, verarbeiten und nutzen, und zwar namentlich für die Sicherheitsüberprüfung von Personen, die für ihn tätig werden sollen.
Tätigkeitsbericht 1999/2000 des EDSB 83 In der « Bellasi-Affäre » enthalten die auf die Sicherheitsüberprüfungen an- wendbaren Normen angemessene Mechanismen zur Durchführung der erfor- derlichen Kontrollen. Von solchen Überlegungen ausgehend betonten wir, dass sowohl die alten wie die neuen Regelungen zu den Sicherheitsüberprüfungen im vorliegenden Fall angemessene gesetzliche Grundlagen bilden und die Interessen des Staates sowie die militärische Sicherheit gewährleisteten. Keine datenschutzrechtliche Bestimmung hat diese Interessen beeinträchtigt, die Durchführung der Sicherheitsprüfungen beschränkt oder die Vernichtung von Akten aus diesen Kontrollen verlangt. Wir gelangten in unserer Stellungnahme zum Schluss, dass keine datenschutzrechtliche Auflage oder Vorschrift die Durchführung der Sicherheitskontrollen behinderte und dass aus unserer Sicht die neuen spezifischen Regeln über die Sicherheitsprüfungen der Bediensteten des Bundes, der Angehörigen der Armee oder Dritter, sowie die spezifischen auf den Nachrichtendienst anwendbaren Bestimmungen den heutigen Bedürf- nissen vollkommen genügen. Die Geschäftsprüfungsdelegation schloss sich unserer Auffassung an und gab in ihrem Bericht vom 24. November 1999 über die « Vorkommnisse in der Unter- gruppe Nachrichtendienst des Generalstabs – Bellasi-Affäre » verschiedene Auszüge aus unserer Stellungnahme wieder. Allerdings gab sie zu bedenken, dass die Bestimmungen jüngeren Datums sind und in der Verwaltung noch längst nicht umgesetzt wurden. Ausserdem stellte die GPD fest, dass die Si- cherheitsprüfungen in Wirklichkeit rein formell und oberflächlich bleiben. Die GPD gelangte in ihrem Bericht zum Fazit, dass die Gesetze scheinbar zwar die zur Wahrung der Sicherheit notwendigen Garantien bieten, die Durchführungs- modalitäten der Kontrollen aber derart restriktiv sind, dass diese ihre Glaub- würdigkeit weitgehend einbüssen. Daher empfahl die Delegation dem Bundes- rat, die Verordnung über die Personensicherheitsprüfungen zu revidieren ; die Revision müsse eine periodische Wiederholung der Sicherheitsprüfungen, einen breiteren Einsatz der polizeilichen Erhebungen sowie auch eine systematische Wiederholung der Sicherheitsprüfung erlauben, wenn eine bereits geprüfte Per- son eine neue, auch kontrollpflichtige Funktion übernimmt. 11.Archivwesen 11.1. Verordnung zum Archivgesetz Nachdem das Bundesgesetz über das Archivwesen bereits am 26. Juni 1998 von den Eidgenössischen Räten verabschiedet werden konnte, wurde uns ein Verordnungs- entwurf zur Beurteilung vorgelegt, bei dessen Erarbeitung wir in einer interde- partementalen Arbeitsgruppe mitgewirkt hatten.
Tätigkeitsbericht 1999/2000 des EDSB 84 Der Entwurf sah eine Änderung der Datenschutzverordnung vor, die es sämtli- chen Bundesorganen erlaubt hätte, Listen mit Personendaten zu veröffentlichen, soweit ein öffentliches Interesse daran besteht. Aus unserer Sicht erschien es verfehlt, eine Frage, die sich in erster Linie in Zusammenhang mit Archivdaten stellt, namentlich die Frage der Zulässigkeit der Publikation von sogenannten Findmitteln und insbesondere von Namenslisten (vgl. hierzu unsere Position in Zusammenhang mit der Interpellation Scheurer, 6. Tätigkeitsbericht 1998/99, S. 121ff) in einer generellen Norm regeln zu wollen. Eine solche Regelung hätte u.E. eindeutig dem Willen des Gesetzgebers widersprochen. Namentlich statu- iert Art. 19 Abs. 2 des Bundesgesetzes über den Datenschutz, dass Bundesor- gane, auch ohne gesetzliche Grundlage gemäss Art. 17 DSG, auf Anfrage im Einzelfall Name, Adresse und Geburtsdatum einer Person bekannt geben dür- fen. Der Gesetzgeber erlaubt somit keine systematische Bekanntgabe und Ver- öffentlichung von Personendaten, namentlich in Form von Listen. Aus unserer Sicht stand der Schaffung einer Rechtsgrundlage, die es dem Bundesarchiv er- laubt hätte, bei Bestehen eines öffentlichen Interesses gewisse personenbezo- genen Daten in Form von Listen zu publizieren, um Licht in gewisse historische Ereignisse und Gegebenheiten zu bringen, grundsätzlich nichts entgegen. Allerdings hätte eine solche Norm in der Bundesarchivverordnung und nicht in der Verordnung zum Bundesgesetz über den Datenschutz integriert werden müssen. Die Frage, ob allenfalls ein Bedürfnis besteht, auch anderen Bundesor- ganen unter bestimmten Voraussetzungen die Möglichkeit zur Publikation von Personendaten, insbesondere in Form von Listen, zu geben, müsste noch über- prüft werden. Hierzu würde jedoch eine gesetzliche Grundlage auf Verord- nungsstufe wohl kaum ausreichen, weil in den zu publizierenden Informationen durchaus auch besonders schützenswerte Daten enthalten sein könnten. Vor dem Hintergrund dieser Überlegungen und um u.a. das Inkrafttreten des Ar- chivgesetzes und der Ausführungsverordnung nicht zu verzögern, wurde auf die Norm betreffend Publikation von Listen verzichtet. In der Folge ist auch die Entscheidung getroffen worden, die Liste der während des Zweiten Weltkrieges in der Schweiz aufgenommenen Flüchtlinge nicht zu veröffentlichen, jedoch die Archive für die betreffende Periode der Öffentlichkeit zugänglich zu machen. Am 1. Oktober 1999 ist das Archivgesetz mit Ausführungserordnung in Kraft getreten. Es werden allerdings Überlegungen gemacht, ob Bundesorgane Perso- nendaten publizieren dürfen. Bei Gelegenheit sollen allenfalls die notwendigen Rechtsgrundlagen geschaffen werden.
Tätigkeitsbericht 1999/2000 des EDSB 85 12.Mietwesen 12.1. Bearbeitung von Mieterdaten Vermieter und Liegenschaftsverwaltungen müssen Tag täglich mit einer beachtlichen Menge von Mieterdaten umgehen. Ob oder inwiefern Personendaten an Dritte bekannt- gegeben werden dürfen, ist in der Praxis nicht immer einfach festzustellen. Im Folgen- den finden sich Antworten auf die in diesem Zusammenhang am häufigsten gestellten Fragen. Bekanntgabe an Dritte im Allgemeinen Mieterdaten dienen in erster Linie der Abwicklung des Mietvertrages. Dem Vermieter ist es somit grundsätzlich nicht gestattet, Mieterdaten ohne die Ein- willigung der betroffenen Person an Dritte bekannt zu geben. Eine Bekanntgabe ohne die Einwilligung des jeweiligen Mieters oder gegen dessen ausdrücklichen Willen (Sperrung) stellt eine Persönlichkeitsverletzung im Sinne der Daten- schutzgesetzgebung dar. Eine Datenbekanntgabe ist auch dann unzulässig, so- weit kein überwiegendes privates oder öffentliches Interesse oder eine gesetz- liche Bestimmung dies rechtfertigen. Eine Bekanntgabe ohne Rechtfertigungs- grund stellt eine Durchbrechung des Zweckbindungsgebotes dar und ist somit widerrechtlich. Der Vermieter trägt die Verantwortung für die ihm anvertrauten Mieterdaten und hat sich bei deren Bearbeitung an die datenschutzrechtlichen Bearbeitungsgrundsätze (Rechtmässigkeit, Bearbeitung nach dem Grundsatz von Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Richtigkeit der Daten) zu halten. Ob in einem konkreten Fall ein öffentliches oder privates In- teresse gegenüber dem Geheimhaltungsinteresse des Mieters überwiegt, muss im Einzelfall und unter Vornahme einer Interessenabwägung entschieden wer- den. Referenzauskünfte Oftmals werden Vermieter, resp. Liegenschaftsverwaltungen von anderen Lie- genschaftsverwaltungen um Referenzauskünfte über aktuelle oder ehemalige Mieter gebeten. Es stellt sich die Frage, ob die um Auskunft gebetene Personen überhaupt Angaben über den oder die jeweiligen Mieter machen darf, und wenn ja, in welchem Umfang. Das Einholen von Referenzen bedarf durch den potentiellen Vermieter der Zu- stimmung des betreffenden Mietinteressenten (vgl. auch unser Merkblatt über die Anmeldeformulare für Mietwohnungen, erhältlich beim EDSB oder abruf- bar unter: www.edsb.ch). Die um eine Referenzauskunft gebetene Person darf nur Auskunft erteilen, wenn der jeweilige Mieter diese als Referenz ausdrück- lich angegeben hat. Aktuelle oder ehemalige Vermieter gelten somit nicht
Tätigkeitsbericht 1999/2000 des EDSB 86 automatisch als Referenzpersonen. Im Zweifel ist es sinnvoll, sich beim betref- fenden Mieter zu vergewissern, ob dieser die Einwilligung gegeben hat oder nicht. Das Informationsrecht ist im Übrigen auf die Bestätigung der im Anmel- deformular für Mietinteressenten gemachten Angaben zu beschränken. Zur Frage, welche Angaben über Mietinteressenten erhoben werden dürfen, verwei- sen wir auf das oben erwähnte Merkblatt des EDSB. Führung sogenannter Konfliktjournale Viele Liegenschaftsverwaltungen führen über Konfliktfälle mit Mietern sogenannte Konfliktjournale. Soweit es sich dabei um Liegenschafts- verwaltungen mit einer gewissen Anzahl von Mitarbeitern handelt, stellt sich die Frage, wem diese Unterlagen, resp. Informationen in welchem Umfang zu- gänglich gemacht werden dürfen. Dem Verhältnismässigkeitsgrundsatz und dem Zweckbindungsgebot folgend, vertreten wir die Ansicht, dass nur diejenigen Personen, die tatsächlich mit ei- nem Konfliktfall befasst sind, Zugriff auf solche Daten haben sollen. Dies auch nur insoweit, als sie die jeweiligen Daten für die Erledigung ihrer Arbeit auch wirklich benötigen. Es gilt der Grundsatz: So wenige Daten wie möglich, so viele wie unbedingt nötig; dies umso mehr, als es sich vorliegend um besonders schützenswerte Daten oder Persönlichkeitsprofile im Sinne der Datenschutzge- setzgebung handeln kann. In Bezug auf die Bekanntgabe oder Weitergabe an Dritte gilt das im entsprechenden Abschnitt Gesagte analog. 13.Vereine 13.1.Merkblatt über den Umgang mit Adressen von Vereinsmitliedern Da sich in letzter Zeit Anfragen betreffend Umgang mit Daten von Vereinsmit- gliedern gehäuft haben, erachten wir es als sinnvoll, ein Merkblatt zu diesem Thema zu erstellen. Sie finden dieses Merkblatt im Anhang des vorliegenden Tätigkeitsberichtes (S. 117).
Tätigkeitsbericht 1999/2000 des EDSB 87 14.Verschiedenes 14.1. Vertrieb einer CD-ROM mit Fahrzeughalterdaten: Verletzung des Vertriebsverbotes der Eidg. Datenschutzkommission Nach wiederholter Feststellung der Verletzung des Vertriebsverbotes betreffend die CD- ROM AUTOdex hat die Eidg. Datenschutzkommission auf unser Gesuch hin am 16. Februar 1999 eine Vollstreckungsverfügung erlassen (vgl. 6. Tätigkeitsbericht 1998/99, S. 146). Aber auch die Vollstreckungsverfügung wurde seitens der produzierenden Firma nicht eingehalten. Die zuständige richterliche Behörde hat gegen die Firma eine Busse verfügt. Die Eidg. Datenschutzkommission erliess bereits 1998 einen Entscheid, wonach die Produktion und der Vertrieb der CD-ROM AUTOdex mit den Fahrzeughal- terdaten der Schweiz definitiv einzustellen sei. Dieser Entscheid wurde aber von der produzierenden Firma nicht eingehalten. Vielmehr wurde eine neue Version der CD-ROM auf den Markt gebracht. Demzufolge stellten wir das Ge- such bei der Eidg. Datenschutzkommission um Erlass einer Vollstreckungsver- fügung. Die Eidg. Datenschutzkommission hat dann mit der Vollstreckungsver- fügung vom 16. Februar 1999 der produzierenden Firma unter ausdrücklicher Androhung der Straffolgen von Art. 292 des Schweiz. Strafgesetzbuches (StGB) verboten, die illegale CD-ROM AUTOdex weiterhin zu produzieren und zu vertreiben. In der Folge haben wir erfahren, dass die produzierende Firma auf Bestellung hin die fragliche CD-ROM weiterhin vertreibt. Aufgrund dieser Tatsache haben wir die produzierende Firma wegen Verletzung der Voll- streckungsverfügung der Eidg. Datenschutzkommission angezeigt. Die zustän- dige richterliche Behörde hat der produzierenden Firma mit Verfügung vom 9. November 1999 eine Busse auferlegt.
Tätigkeitsbericht 1999/2000 des EDSB 88 III. INTERNATIONALES 1.Europarat
bis zum 18. Juni 1999 seine 15. Tagung ab und verabschiedete insbesondere den Entwurf eines Zusatzprotokolls zum Übereinkommen Nr. 108 betreffend Aufsichtsbe-
Tätigkeitsbericht 1999/2000 des EDSB 89 hörden und grenzüberschreitende Datenübermittlungen. Vor der Annahme durch das Ministerkomitee wird die Parlamentarische Versammlung eine Stellungnahme zum Entwurf abgeben. Der Protokollentwurf wird das Übereinkommen Nr. 108 in zwei Punkten ergänzen: Zum Einen durch die Verpflichtung für die Vertragsparteien, eine oder mehrere völlig unabhängig arbeitende Kontrollbehörden einzurichten ; diese Kontrollbehörde ist mit der Einhaltung der Beachtung der Datenschutzbe- stimmungen beauftragt und verfügt über Ermittlungs- und Interventions- befugnisse. Ausserdem kann sie vor Gericht auftreten bzw. eine Gerichtsbe- hörde mit von ihr festgestellten Verstössen befassen. Zum Anderen regelt das künftige Protokoll die grenzüberschreitende Bekanntgabe von Personendaten an Empfänger, welche der Gerichtsbarkeit eines Staates oder einer Organisation unterstehen, der nicht Vertragspartei des Übereinkommens ist. So dürfen Daten insbesondere nur bekanntgegeben werden, wenn für die fragliche Übermittlung ein angemessenes Schutzniveau gewährleistet wird. Das Protokoll soll die Grundsätze des Übereinkommens Nr. 108 festigen und zu einem besseren Schutz der durch dieses Übereinkommen garantierten Rechte beitragen. Das Protokoll berücksichtigt die Rechtsentwicklung, vor allem die europäische Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Daneben hat der Beratende Ausschuss eine Studie zu besonders schützens- werten Daten begonnen und einen Fragebogen erstellt, der an alle Mitglieder des Europarates versandt wurde. Ziel der Studie ist, zu ermitteln, wie die ver- schiedenen Mitgliedstaaten das Problem der besonders schützenswerten Daten in ihrer nationalen Gesetzgebung geregelt haben. Im Weiteren soll Näheres über die Auslegung der verschiedenen Begriffe in der Definition der besonders schützenswerten Daten erfahren werden. Die Studie sollte Aufschluss darüber geben, ob das Konzept der besonders schützenswerten Daten überarbeitet und ob insbesondere der Katalog erweitert werden muss. Schliesslich befasste sich der Beratende Ausschuss mit der Revision der Standard-Vertragsklauseln von 1992, welche einen gleichwertigen Datenschutz im Rahmen der grenzüber- schreitenden Datenströme sicherstellen sollen.
Tätigkeitsbericht 1999/2000 des EDSB 91 Im Dezember 1999 beteiligten wir uns am Seminar unter dem Titel «Daten- schutz im Bereich Polizeiwesen», das der Europarat im Rahmen des Programms von Aktivitäten zur Förderung und Festigung der demokratischen Stabilität in Strassburg ausrichtete. Ziel des Seminars war, die grundlegenden Prinzipien des Datenschutzes im Polizeibereich, die sich namentlich aus den Bestimmungen des Übereinkommens Nr. 108 des Europarates über den Schutz personenbezo- gener Daten, der Empfehlung R (87) 15 über die Verwendung von personenbe- zogenen Daten im Polizeibereich sowie aus nationalen und internationalen Ge- setzgebungen ergeben, in Erinnerung zu rufen. Die Seminarteilnehmer – auf Datenschutz spezialisierte Experten – tauschen auf der Grundlage dieser Regelungen Ansichten und Erfahrungen zu verschiedenen Themen aus : Aufbewahrungsfristen für Informationen im Kriminalbereich, Verwendung von in einer Strafermittlung zu nicht unmittelbar verdächtigten Drittpersonen erhobenen Daten, Benachrichtigung von Personen, wenn die Po- lizei ohne ihr Wissen Daten über sie aufbewahrt, Aufbewahrung und Nutzung genetischer Daten zwecks Identifizierung von Straftätern, Einsetzung von Kon- trollstellen zur Überwachung der Einhaltung des Schutzes von personenbezo- genen Daten im Polizeibereich. Neben diesen Diskussionen wurden verschie- dene internationale Instrumente und Rechtsordnungen in der polizeilichen Zu- sammenarbeit wie z.B. Interpol, Europol oder Schengen in Vorträgen und Aus- sprachen erörtert. Zum Abschluss des Seminars richteten die Experten verschiedene Empfeh- lungen vor allem an die nationalen Gesetzgeber ; diese sollen im innerstaat- lichen Recht Regelungen schaffen für Fragen, welche die Entwicklungen in der Kriminalität sowie die Bedürfnisse und Methoden der Polizei mit Blick auf die datenschutzrechtlichen Anforderungen aufwerfen. So wurde empfohlen, dass die Staaten angesichts der wachsenden internationalen Kommunikationsströme der Polizeiinformationen die Qualität von bekanntgegebenen Personendaten sorgfältig auswerten, die Datensammlungen der Polizei effizient kontrollieren und die betroffenen Personen selbst über die Landesgrenzen hinaus wirksam unterstützen sollen. Ausserdem plädierten die Teilnehmer für mehr Absprache und Zusammenarbeit auf internationaler Ebene. Zudem äusserten sie den Wunsch, der Europarat solle die anlässlich des Seminars aufgeworfenen Fragen weiter untersuchen und die mögliche Erarbeitung ergänzender Rechtsinstrumente prüfen mit dem Ziel, den Schutz personenbezogener Daten zu fördern und zu stärken. Insbesondere soll eruiert werden, inwiefern die Ausarbeitung einer zusätzlichen Empfehlung zur Empfehlung R (87) 15 über die Verwendung von personenbezogenen Daten im Polizeibereich zweckmässig sei. Durch dieses Vorgehen würden die neuen Da- tenerhebungsmethoden der Polizei, die immer leistungsfähigere und intensivere Bearbeitung von Informationen im Kriminalwesen, der Einsatz neuer polizeili-
Tätigkeitsbericht 1999/2000 des EDSB 92 cher Forschungsmethoden und –techniken (Videoüberwachung, Internet, Erhe- bung genetischer Daten, Erfassung von Drittpersonen) sowie der wachsende grenzüberschreitende Austausch von Polizeidaten berücksichtigt. 2.Beziehungen zur Europäischen Union
September 1999 in Hongkong statt. An dieser Konferenz beteiligten sich die Daten- schutzbeauftragten von weltweit 25 Staaten, Regierungsexperten, Vertreter der OECD und der Europäischen Union sowie der Industrie und der Wissenschaft. Zum Abschluss verabschiedete die Konferenz auf unseren Vorschlag hin eine Erklärung. Diese Erklä- rung stützt sich auf die Empfehlungen der durch die Europa-Richtlinie eingesetzten Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten sowie auf den Bericht der « Commission nationale de l’informatique et des libertés » (Nationaler Ausschuss für Informatik und Freiheitsrechte, Frankreich). In der Erklä- rung werden die Regierungen aufgefordert, die Aufbewahrungsdauer von Verkehrs- daten im Telekommunikationssektor zu beschränken, d.h. möglichst kurz zu halten, und das Recht der Personen bei der Bekanntgabe solcher Daten an Dritte zu beachten.
Tätigkeitsbericht 1999/2000 des EDSB 94 Die Konferenz behandelte die Problematik der Informationstechnologien im Zeitalter der Globalisierung sowie den E-Commerce (http://www.pco.org.hk/conproceed.html). Sie setzte sich insbesondere mit den Risiken und Vorteilen der Technologien für den Privatbereich, mit der Garantie der Privatsphäre in einem globalisierten Umfeld, mit den Gefahren der Überwa- chung sowie mit der Datensicherheit im Rahmen der Datenschutz-Audits aus- einander. Ausserdem befasste sie sich mit der internationalen Zusammenarbeit im Polizeibereich, mit der Beziehung zwischen Informationsfreiheit und Daten- schutz, dem Datenschutz in den neuen Medien, den Konsequenzen der auf- kommenden Cyber-Gesetzgebung für den Datenschutz und mit den Verbrau- cherrechten in bezug auf den E-Commerce. Ferner schuf die Konferenz eine Arbeitsgruppe, welche die Möglichkeit der Einführung von « Datenschutzzertifikats-Verfahren » durch die Datenschutzbeauftragten aus- werten soll. Am Rande der internationalen Konferenz tagte auch die europäische Daten- schutzkonferenz, welcher die Datenschutzbeauftragten der Mitgliedstaaten der Europäischen Union und des Europäischen Wirtschaftsraums angehören. Wir waren zum ersten Mal als Beobachter dabei. Die Konferenz zog die Bilanz der Aktionen und legte die Prioritäten für das laufende Jahr fest. Ausserdem setzte sie den Schwerpunkt auf die Ausbildung und die Sensibilisierung im Daten- schutzbereich, welche bereits in den Schulen beginnen muss. 4.OECD
Tätigkeitsbericht 1999/2000 des EDSB 98 menarbeit in Justiz-, Polizei- und Zollsachen. Damit wurden auf Schweizer Seite die für das Inkrafttreten erforderlichen Voraussetzungen erfüllt. Die fran- zösische Regierung unterbreitete dem Parlament im Herbst 1999 einen Geset- zesentwurf, der vom Senat erörtert und von der Assemblée nationale genehmigt werden muss. Sofern im Verfahren in Frankreich keine Schwierigkeiten auftre- ten, dürfte das Abkommen im Herbst 2000 in Kraft treten. Wir wurden ersucht, uns in der « Arbeitsgruppe Frankreich » unter der Leitung des Bundesamtes für Polizei und des Bundesamtes für Ausländerfragen an der Erarbeitung des Abkommens zu beteiligen. Wir wiesen darauf hin, dass das Abkommen spezifische Datenschutzbestimmungen enthalten müsse. Die « Arbeitsgruppe Frankreich » und die französischen Verhandlungsteilnehmer setzten sich aufmerksam mit solchen Bestimmungen auseinander. Die Arbeiten mündeten in einer detaillierten datenschutzrechtlichen Vorschrift, welche die künftige Bearbeitung von Personendaten im Rahmen dieses Abkommens regelt. Die Vorschrift greift die wichtigsten in diesem Bereich anwendbaren gemein- samen Grundsätze auf und sieht geeignete technische und organisatorische Massnahmen vor, um die personenbezogenen Daten gegen unerlaubten Zugriff oder unerlaubte Bearbeitung zu schützen. Im Rahmen der Umsetzung des Abkommens sollen gemeinsame Kooperations- zentren der beiden Parteien in Grenznähe eingerichtet und in Betrieb genommen werden. Die « Arbeitsgruppe Frankreich » sprach sich für die Unterbringung eines ersten gemeinsamen Zentrums im Genfer Flughafen aus. Wir forderten die Arbeitsgruppe auf, neben der Prüfung der Einrichtungs- und Betriebskosten des gemeinsamen Zentrums auch abzuklären, welche Informatiksysteme mit wel- chen Zugangsmöglichkeiten für die Datenbearbeitung zum Einsatz kommen sollen. Die Arbeitsgruppe beauftragte daher den Vertreter des Bundesamtes für Polizei zu untersuchen, welche Datenbanken des Bundes und der Kantone durch die gemeinsamen Zentren betroffen sind, eine Bestandesaufnahme der anwendbaren Gesetze bzw. Verordnungen vorzunehmen sowie eine Liste etwaiger zu revidierender Vorschriften zu erstellen. 6.Internationale Arbeitsgruppe für Datenschutz in der Telekommuni- kation Am 31. August 1999 hatten wir Gelegenheit uns an der 26. Sitzung der Arbeitsgruppe, an der wir regelmässig teilnehmen, in Berlin zu beteiligen. Neben der Information der Teilnehmer über die neusten datenschutzrelevanten Entwicklungen im Telekommunika- tionsrecht der einzelnen Länder bildeten Datenschutzprobleme im Internet einen Schwerpunkt.
Tätigkeitsbericht 1999/2000 des EDSB 99 An einem öffentlichen Symposium im Rahmen der Internationalen Funkaus- stellung zum Thema «Datenschutz – Brücke zwischen Privatheit und Welt- markt» des Berliner Datenschutzbeauftragten wurde unter anderem die Frage diskutiert, wie trotz fortschreitender Globalisierung der Märkte (Stichwort: E- Commerce) die Persönlichkeitsrechte der Konsumenten gewährt werden kön- nen. Im Weiteren wurden Möglichkeiten datenschutzfreundlicher Technologien vorgestellt. Eine umfassende Dokumentation des Symposiums findet sich unter http://www.datenschutz-berlin.de/infomat/heft27/index.htm IV.DER EIDGENÖSSISCHE DATENSCHUTZBEAUFTRAGTE 1.Sechste schweizerische Konferenz der Datenschutzbeauftragten Die sechste schweizerische Konferenz der Datenschutzbeauftragten, die vom EDSB organisiert wurde, fand am 5. November 1999 in Bern statt. Teilge- nommen haben Vertreterinnen und Vertreter kantonaler Datenschutzbehörden sowie Datenschutzberater eidgenössischer Departemente. Der Schwerpunkt galt dem Thema Öffentlichkeitsprinzip, das verlangt, dass behördliche Akten grund- sätzlich für die Allgemeinheit zugänglich gemacht werden. Das Ziel ist die de- mokratische Meinungsbildung sowie die Kontrolle des staatlichen Handels zu fördern. Vorgestellt und diskutiert wurde der Entwurf für ein entsprechendes Bundesgesetz, die Erfahrungen mit dem Informationsgesetz des Kantons Bern, das bereits seit mehreren Jahren in Kraft ist sowie das Gesetzesprojekt des Kantons Solothurn. Zudem wurde ein internationaler Rechtsvergleich zum Thema präsentiert. Zentraler Punkt war die Frage, wie die Transparenz unter Wahrung des Schutzes personenbezogener Daten ermöglicht werden kann bzw. wie die teils divergierenden Interessen abgewogen werden können. Einen Artikel zum Thema Öffentlichkeitsprinzip und Datenschutz finden Sie auf Seite 73 dieses Berichtes. Weitere behandelte Themen betrafen elektronische Dienstleistungen öffent- licher Verwaltungen (E-Government), die Volkszählung 2000 sowie DNA Pro- fil-Datenbanken zu erkennungsdienstlichen Zwecken.
Tätigkeitsbericht 1999/2000 des EDSB 100 2.Publikationen des EDSB – Neuerscheinungen -Merkblatt über unerwünschte E-MailWerbung (Spamming)
Tätigkeitsbericht 1999/2000 des EDSB 101 3.Statistik über die Tätigkeit des Eidgenössischen Datenschutzbeauftragten Zeitraum 1. April 1999 bis 31. März 2000 Konferenzteilnahmen: NationalInternational 1817 Anzahl von Sitzungen BundPrivateKantone Intern189669 Extern2584921 Total44711530
Tätigkeitsbericht 1999/2000 des EDSB 102 Anzahl der Stellungnahmen EingängeSchriftliche Stellungnahmen Empfehlungen des EDSB Keine Einwendungen Zu Gesetzen51533 Zu Verordnungen807415 Zu internationalen Vereinbarungen16144 Anfragen aus dem öffentlichen Bereich: Bundesorgane18216421 Kantone4035 Ausländische Datenschutzbehörden44 Anfragen aus dem privaten Bereich: Privatpersonen9079 Banken1913 Adresshandel/Direktmarketing2424 Kreditwesen2314 Buchhandel/Publikationen22 EDV - Bereich55 Personalwesen121981 Telekommunikation44442 Versicherungen8354 Polizeiwesen5358 Gesundheit7560 Mietrecht44 Kundenkarten66 Adoption11 Sekten33 Umwelt /Bauten11 Vereine22 Steuern1 Zoll844 Total938816527
Tätigkeitsbericht 1999/2000 des EDSB 103 Anzahl der Stellungnahmen 0 50 100 150 200 250 300 350 400 Zu Gesetzen Zu internationalen Kantone Privatpersonen Adresshandel/ Buchhandel/ Personalwesen Versicherungen Gesundheit Kundenkarten Sekten Vereine Zoll
Tätigkeitsbericht 1999/2000 des EDSB 104 TELEFONAUSKUNFT
Tätigkeitsbericht 1999/2000 des EDSB 105
Telefonauskunft nach Sachgebiet 0 100 200 300 400 500 600 700 800 Datenschutz Anmeldung Übermittlungen ins Arbeitsbereich/ Mietrecht/ Banken/ Fahrzeughalter Telefon-Daten Datensicherheit Zoll Steuern DNA Genetik
Telefonauskunft
nach Anf ragenden 0 200 400 600 800 1000 1200 1400 1600 1800
Tätigkeitsbericht 1999/2000 des EDSB 107 4.Das Sekretariat des Eidgenössische Datenschutzbeauftragten Eidgenössischer Datenschutzbeauftragter: Guntern Odilo, Dr. iur. Stellvertreter:Walter Jean-Philippe, Dr. iur. Sekretariat: Leiter:Walter Jean-Philippe, Dr. iur. Stellvertreter:Marc Buntschu, lic. iur. Delegierter für Information und PresseTsiraktsopulos Kosmas, lic. iur. Rechtsdienst:Atia-Off Katrin, Dr. iur. Costa Giordano, lic. iur. Horschik Matthias, Fürsprecher Jakob-Wiederkehr Rita, Fürsprecherin Kardosch Milica, lic. iur. Schönbett Frédéric, lic. iur. Tsiraktsopulos Kosmas, lic. iur. Informatikdienst:Baumann Pierre-Yves, lic. ès sc. math., Informatiker Scherrer Urs, Informatiker Stüssi Philipp, lic. phil. nat., Informatiker Kanzlei:Blattmann Doris Purro Isabelle
Tätigkeitsbericht 1999/2000 des EDSB 108 V.ANHANG 1.Merkblatt Schutz von unerwünschten e-mails (spamming) Der Eidgenössische Datenschutz- beauftragte informiert : MERKBLATT ÜBER UNERWÜNSCHTE E-MAIL-WERBUNG Worum geht es ? Elektronische Post ist schnell, kostengünstig und unkompliziert. In Sekundenschnelle lassen sich Nachrichten in alle Welt verschicken. Aus diesem Grund kommunizieren immer mehr Menschen per E-Mail. Auch die Werbetreibenden haben die Vorteile dieses Kommunikationsmittels erkannt und versenden ihre Werbebotschaften vermehrt mit der elektronischen Post. Massenversand via E-Mail - im Fachjargon SPAM, Junk-Mail oder Unsolicited Bulk E-Mail genannt - ist ein Ärgernis und belastet die Ressourcen in erheblichem Masse. Solche Wurfsendungen können insbesondere zu Behinderungen Ihrer Arbeit führen; im Extremfall ist überhaupt keine Kommunikation mehr möglich. Zudem können auch erhöhte Kommunikationsgebühren entstehen. Dieses Merkblatt gibt Ihnen einen Überblick über technische Schutzmassnahmen und zeigt, welche rechtlichen Möglichkeiten das Datenschutzgesetz bietet, damit Sie sich gegen SPAM zur Wehr setzen können. So gelangen Adresshändler an Ihre E-Mail-Adresse Wenn Sie das Internet benutzen, hinterlassen Sie weltweit lesbare Datenspuren, meistens unwissentlich, aber vielfach auch ganz bewusst, bspw. durch Bekanntgabe Ihrer E-Mail-Adresse und anderer personenbezogener Daten in Zusammenhang mit Newsgroups, Chatrooms, Mailinglisten, Bestellungen, Homepages, usw. Mit einer eigens dafür geschaffenen Software können Internetseiten und Verzeichnisse nach E-Mail-Adressen durchsucht und daraus Adresslisten erstellt werden. ./.
Tätigkeitsbericht 1999/2000 des EDSB 109 Technische Schutzmassnahmen MassnahmeBsp.VorteileNachteile Sperrung der E-Mail- Adresse mit Eintrag in Sperrlisten www.erobinson.com/ html/eintragung.html Keine technischen Konfigurationen bei Provider/Benutzer nötig. Nicht alle Spammer gleichen Ihre Adressen mit solchen Sperrlisten-Listen ab (auf Goodwill angewiesen). Wem die Liste vorliegt, kann sie trotzdem für Spamming benutzen. Filtern nach Merkmalen in Subjekt-Zeile oder Text (Stichworte...) Bei Internet-Provider oder E-Mail-Provider Filtermechanismus kann laufend angepasst werden Es können auch echte persönliche Mails gefiltert werden. Bestimmte Adressen blockieren Bei den meisten E- Mail-Programmen/ Diensten möglich. Absender mit blockierten Adressen kommt nicht mehr durch. Spammer verwenden immer wieder andere (teilweise fiktive) Absenderadressen. Positivlistewww.coldmail.de/Garantiert keine unerwünschte Mails Spontanes Erstversenden eines Mails unmöglich Mehrere E-Mail- Konten führen Ein E-Mail-Konto kann sauber gehalten werden, indem die Adresse nur sehr restriktiv herausgegeben wird. Mehraufwand für Benutzer E-Mail-Adresse nicht überall eintragen (Newsgroups, Mailinglisten, Bestellungen, Homepages) Erreichbarkeit sinkt. Bestimmte Dienste ohne Angabe einer E- Mail-Adresse nicht nutzbar. E-Mail-Adresse modifiziert angeben Vor und nach dem @ Leerschlag eingeben Von Computern nicht sogleich als E-Mail- Adresse erkennbar Was tun, wenn Sie bereits Spamming-Opfer geworden sind ? Versuchen Sie dem Spammer auf die Spur zu kommen. Dazu müssen Sie die Header (Kopfzeilen) der E-Mails analysieren. (Erklärungen dazu finden Sie unter: http://www.rhein-neckar.de/~ancalago/faq/headrfaq.html ) Wenden Sie sich sodann mit einem Sperrbegehren an den Urheber sowie an den Provider, über den die E-Mails verschickt werden. Der Provider kann geeignete Massnahmen ergreifen.
Tätigkeitsbericht 1999/2000 des EDSB 110 Können Sie rechtlich gegen SPAM etwas unternehmen ? Wenn Sie die Anschrift des Spammers lokalisiert haben, teilen Sie ihm mit, dass Sie die Verwendung Ihrer Adresse bspw. zu Werbezwecken nicht wünschen. Verlangen Sie, dass der Spammer einen Sperrvermerk auf seiner Liste anbringt. Nach Art. 8 Datenschutzgesetz haben Sie ausserdem das Recht, vom Inhaber einer Datensammlung Auskunft darüber zu verlangen, ob und welche Daten über Sie bearbeitet werden. Diese Rechtsansprüche können auch gerichtlich durchgesetzt werden (Art. 15 DSG). (Einzelheiten hierzu finden Sie im Leitfaden des EDSB über die Rechte der betroffenen Personen.) Achtung: Der Schweizerischen Datenschutzgesetzgebung unterstehen ausschliesslich Personen, die Daten in der Schweiz bearbeiten. Darum achten sie darauf, wo Sie Ihre E-Mail-Adresse eintragen. Wenn Ihre E-Mail-Adresse ausserhalb der Schweiz missbraucht wird, steht Ihnen - wenn überhaupt - nur ein beschwerlicher Rechtsweg zur Verfügung. In solchen Fällen finden die Bestimmungen jenes Landes Anwendung, in dem die E-Mail-Adresse bearbeitet wird. Weitere Informationen zum Thema finden Sie auch im Internet unter folgenden Adressen: http://www.politik-digital.de/spam/de/links/ http://www.imc.org/imc-spam http://www.spam.abuse.net/ http://www.pobox.com/~djb/qmail.html http://www.sendmail.org/antispam.html Weitere Internetadressen können Sie auch über die verschiedenen Suchmaschinen im Internet finden unter Eingabe des Stichwortes "antispam" Dieses Merkblatt wie auch andere Informationen zum Thema Datenschutz können Sie unter www.edsb.ch abrufen.
Tätigkeitsbericht 1999/2000 des EDSB 111 2.Merkblatt über den Datenschutz beim Telefonieren am Arbeitsplatz dc Am Arbeitsplatz ist die Privatsphäre des Arbeitnehmers geschützt. Der Arbeitgeber ist demnach gehalten, die notwendigen Vorkehren zu treffen, um die Privatsphäre zu schützen und zu achten 1 . Der Arbeitnehmer hat indessen die ihm übertragene Arbeit sorgfältig auszuführen und die berechtigten Interessen des Arbeitgebers (z. B. keine übermässige Telefonnutzung zu privaten Zwecken, keine Sicherheitsrisiken) in guten Treuen zu wahren 2 . Der Einsatz von Überwachungssystemen zur Kontrolle der Einhaltung der Treupflicht oder aus Sicherheitsgründen kann aber zu unzulässigen Eingriffen in die Persönlichkeit der Arbeitnehmer führen, wenn gewisse Voraussetzungen nicht eingehalten werden 3 . Neben den zivilrechtlichen Ansprüchen wegen Persönlichkeitsverletzung steht dem betroffenen Arbeitnehmer in solchen Fällen auch die Möglichkeit der Strafanzeige zu 4 . A. Privater Telefonverkehr am Arbeitsplatz Ohne ausdrückliche Einschränkung oder Verbot privater Telefongespräche am Arbeitsplatz darf der Arbeitnehmer davon ausgehen, dass das private Telefonieren im Rahmen des Verhältnismässigen zulässig ist und dass keine Überwachung vorgenommen wird.
Verbot der Abhörung oder Aufzeichnung privater Gesprächsinhalte Die Überwachung privater Telefongespräche durch den Arbeitgeber durch Abhören oder Aufzeichnen des telefonischen Gesprächsinhaltes stellt eine Verhaltensüberwachung dar und ist verboten. Dies gilt sowohl bei fehlender Regelung der Telefonbenutzung am Arbeitsplatz als auch beim Vorliegen einer ausdrücklichen Einschränkung oder eines Verbotes privater Telefongespräche am Arbeitsplatz. Ist es dem Arbeitnehmer ausdrücklich untersagt, von seinem geschäftlichen Telefonapparat aus private Gespräche zu führen, ist ihm ein unbeaufsichtigter Münz- oder Kartenapparat bereitzustellen.
Aufzeichnung von Randdaten privater Gespräche für die Kostenverrechnung an den Mitarbeiter Randdaten 5 privater Gespräche stellen Bestandteile der Privatsphäre dar und sind grundsätzlich nicht zu erfassen. Allenfalls dürfen die Ortskennziffern aufgezeichnet werden. Ein detaillierter Gebührenauszug (mit vollständigen Nummern) der privaten Gespräche ist lediglich auf expliziten Wunsch oder mit der Einwilligung 6 des Mitarbeiters zu erstellen. Die Bearbeitung hat sich in diesem Fall strikte auf die Prüfungsmöglichkeit (gegenseitige Beweisbarkeit) der in Rechnung gestellten Gebühren zu beschränken. Eine Bekanntgabe der angewählten Nummern privater Gespräche, bspw. an den Vorgesetzten, ist nicht gestattet. Die Daten sind spätestens nach erfolgter Zahlung der Rechnung zu vernichten. Idealerweise ist dem Mitarbeiter auf einfache Weise zu ermöglichen, etwa durch Drücken einer Taste vor dem Telefonat, zu bestimmen, ob das Gespräch geschäftlicher oder privater Natur ist.
1 Art. 328 des Schweiz. Obligationenrechts (OR, SR 220). Bund und Kantone können für ihren Bereich eigene Bestimmungen einführen. 2 Art. 321a OR 3 Art. 26 der Verordung 3 zum Arbeitsgesetz (SR 822.113) 4 Art. 179 bis des Schweiz. Strafgesetzbuches (StGB, SR 311.0)
5 Adressierungselemente (Telefonnummer), Zeitpunkt der Verbindung, Entgelt
6 Art. 13 Abs. 1 des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) Die Arbeitsgruppe der Datenschutzbeauftragten der Kantone und der Eidg. Datenschutzbeauftragte informieren : Merkblatt über den Datenschutz beim Telefonieren am Arbeitsplatz (Für öffentliche Verwaltungen und die Privatwirtschaft)
Tätigkeitsbericht 1999/2000 des EDSB 112 Dadurch kann das Risiko einer Aufnahme des privaten Gesprächsinhaltes, aber auch einer vollständigen Aufzeichnung der angewählten privaten Telefonnummern verringert werden. Das Fernmeldegesetz 7 lässt zu, dass der Arbeitgeber beim Anbieter von Telekommunikationsleistungen bei der Rechnungstellung vollständig identifizierbare Adressierungselemente verlangt. In der Praxis ist es aber oft so, dass die Anbieter von Telekommunikationsleistungen die vollständig identifizierbaren Adressierungselemente spontan bekanntgeben. Es empfiehlt sich, dieses Problem sowohl mit den Anbietern zu regeln als auch mit dem Arbeitnehmer zu besprechen und in den firmen- oder verwaltungsinternen Richtlinien über die Telefonbenutzung am Arbeitsplatz zu berücksichtigen.
Aufzeichnung von privaten Randdaten zur Verhinderung der missbräuchlichen Verwendung des Telefons zu privaten Zwecken Unter Telefonmissbrauch zu privaten Zwecken versteht man sowohl die Missachtung einer Einschränkung oder eines Verbotes der privaten Nutzung des Telefons als auch die unverhältnismässige Beanspruchung einer an sich gestatteten Telefonnutzung zu privaten Zwecken. Die Überwachung des Telefonmissbrauchs zu privaten Zwecken muss auf Anzeichen beruhen, die sich nicht auf eine präventive Kontrolle der Randdaten stützen. Dies gilt insbesondere dann, wenn die Randdaten nicht anonymisiert sind. Zulässige Verdachtsmomente sind etwa unverhältnismässig hohe Telefonkosten eines Mitarbeiters, dessen Leistungseinbruch oder die wiederholte Feststellung des Missbrauchs vor Ort. Nach Feststellung solcher konkreter Hinweise ist der betroffene Arbeitnehmer darüber zu informieren, unter Hinweis darauf, dass gelegentliche Aufzeichnungen und Auswertungen der vollständigen Randdaten vorgenommen werden können (für den besonderen Fall der Telefonbenutzung zur Begehung einer Straftat siehe Punkt C, S. 4). Dabei soll dem Arbeitnehmer die Gelegenheit einer Begründung gegeben werden. Der Arbeitgeber ist in einem solchen Fall jedoch gehalten, die eingesehenen privaten Randdaten vertraulich zu behandeln. Der Straftatbestand des Abhörens fremder Gespräche bleibt in jedem Fall vorbehalten. Ist die private Telefonbenutzung hingegen ausdrücklich verboten, so dürfen Überprüfungen der vollständigen Randdaten privater Telefongespräche nur auf Anordnung des Linienvorgesetzten erfolgen, sofern die Kontrollen nicht systematisch, sondern nur stichprobeweise erfolgen und die Mitarbeiter über die Möglichkeit solcher Kontrollen vorgängig informiert worden sind. Zusammenfassung • Grundsätzliche Zulässigkeit privater Telefongespräche am Arbeitsplatz, sofern die Verhältnismässigkeit gewahrt bleibt und keine ausdrückliche Einschränkung oder Verbot seitens des Arbeitgebers besteht; • Absolutes Verbot der Abhörung oder Aufzeichnung des Inhaltes privater Telefongespräche; • Grundsätzliches Verbot der Aufzeichnung und Auswertung der vollständigen Randdaten privater Telefongespräche. Ausnahmen:
7 Art. 45 Abs. 1 des Fernmeldegesetzes (FMG, SR 784.10)
B. Geschäftlicher Telefonverkehr am Arbeitsplatz
Eine Leistungskontrolle liegt beispielsweise dann vor, wenn die Abhörung oder Aufzeichnung zu Schulungszwecken erfolgt. Die Verhaltenskontrolle ist hingegen nicht gestattet 8 .
Sofern eine Unterscheidung der geschäftlichen von den privaten Gesprächen technisch oder organisatorisch nicht möglich ist, kann die Gefahr einer Abhörung oder Aufzeichnung privater Gespräche im Rahmen einer Leistungs- oder Sicherheitskontrolle des geschäftlichen Telefonverkehrs dadurch verhindert werden, dass die betroffenen Mitarbeiter und Gesprächsteilnehmer vorgängig über die genaue Kontrollperiode und ihre Dauer informiert werden. Die Dauer der Kontrollperiode hat sich auf das Notwendige zu beschränken.
8 Vgl. Fussnote 3.
Tätigkeitsbericht 1999/2000 des EDSB 114 Zusammenfassung • Geschäftliche Telefongespräche dürfen nur aus Leistungs- oder Sicherheitskontrollgründen und nur nach vorgängiger klarer Information beider Gesprächsteilnehmer abgehört oder aufgenommen werden. • Die Aufnahme oder Abhörung muss bei jedem einzelnen Gespräch optisch oder akustisch signalisiert werden. • In jedem Fall bleibt der Straftatbestand des Abhörens oder Aufnehmens fremder Gespräche vorbehalten. • Es empfiehlt sich, Sicherheits- und/oder Leistungskontrollen in firmen- oder verwaltungsinternen Richtlinien zur Benutzung des Telefons am Arbeitsplatz zu regeln. C. Der besondere Fall der Telefonbenutzung zur Begehung einer Straftat Liegt ein konkreter Verdacht für ein rechtswidriges, d. h. nicht bloss den Arbeitsvertrag (und die entsprechende Weisung über die Telefonbenutzung am Arbeitsplatz) verletzendes Verhalten vor, wird der Schutz der Privatsphäre zurückweichen müssen. Wird der Mitarbeiter des Betruges, der Rufschädigung oder eines anderen Deliktes konkret verdächtigt, so ist die zuständige Strafjustizbehörde auf Gesuch des Arbeitgebers und unter Berücksichtigung der gesetzlichen Voraussetzungen für die Telefonüberwachung berechtigt, Bearbeitungen (etwa Telefonabhörungen oder -aufnahmen) ohne vorherige Information der betroffenen Person zum Zweck der Beweissicherung vorzunehmen oder anzuordnen. Dies gilt sowohl für private als auch für geschäftliche Telefongespräche. Solche Überwachungen stellen weder Leistungs- noch Sicherheitskontrollen dar. Sie rechtfertigen sich, wenn - aufgrund einer Interessenabwägung durch die zuständige Strafjustizbehörde - ein überwiegendes öffentliches oder privates Interesse festgestellt wird. Die erhobenen Personendaten sind vertraulich zu behandeln und müssen vernichtet werden, sobald der Zweck der Aufnahme erfüllt ist. Der Arbeitgeber ist nicht berechtigt, beweissichernde Massnahmen ohne Beizug der zuständigen Behörde vorzunehmen. Solche Massnahmen würden nicht nur eine Verletzung der Privatsphäre des Mitarbeiters bedeuten, sondern könnten im Rahmen eines Gerichtsverfahrens als unzulässige Beweismittel betrachtet werden. Ausnahmsweise ist der Arbeitgeber berechtigt, Telefonüberwachungen und Aufnahmen ohne Beizug der zuständigen Behörde zu Beweissicherungszwecken vorzunehmen, wenn die konkrete Gefahr eines Beweisverlustes besteht. Er bleibt aber gehalten, die zuständige Behörde so bald als möglich zu informieren. Zusammenfassung Ergreift der Arbeitgeber die Massnahme der Telefonabhörung zur Beweissicherung, so hat er die zuständigen Strafbehörden vorher beizuziehen, sofern keine Gefahr eines Beweisverlustes besteht. Im letzten Fall bleibt er aber gehalten, die zuständigen Behörden so bald als möglich zu informieren.
Tätigkeitsbericht 1999/2000 des EDSB 115 D. Besondere Leistungsmerkmale von Telefonanlagen Leistungsmerkmale (insbesondere ISDN-Merkmale) moderner digitaler Telefonanlagen bieten manche Erleichterungen und Vorteile für die Benutzer. Es bestehen aber auch Datenschutzrisiken; auf diese wird im Folgenden hingewiesen und es werden Möglichkeiten zu deren Vermeidung aufgezeigt.
Freisprecheinrichtung /Laut Hören Mit Lautsprecher und Mikrofon ausgestattete Apparate können ohne Aufnahme des Telefonhörers benutzt werden. Der Gesprächspartner ist gegebenenfalls im ganzen Raum zu hören und kann über das Mikrofon selbst Gespräche im Raum mitverfolgen. Problematik: Gespräche von Personen im Umkreis des Telefonapparates können ohne deren Wissen vom externen Telefonteilnehmer mitgehört werden. Seine Aussagen können von den im Raum befindlichen Personen mitverfolgt werden. Õ Der Gesprächsteilnehmer, dessen Stimme über Lautsprecher geschaltet ist, muss darüber informiert sein, dass seine Aussagen von weiteren Personen im Raum mitverfolgt werden können. ÕDie Personen in einem Raum, in dem ein Telefonat via Freisprecheinrichtung geführt wird, müssen darüber informiert sein, dass ihre Gespräche vom externen Gesprächspartner mitgehört werden können.
Rufnummeranzeige Bereits vor Annahme eines Telefongesprächs erscheint auf dem Display die Rufnummer (gegebenenfalls auch Name und Vorname) des anrufenden Teilnehmers.
Problematik: Bei einer systematischen Anzeige der Rufnummer kann der Anrufer seine Telefonnummer bzw. seinen Standort nicht geheimhalten (z.B. gegenüber einer betrieblichen Beratungsstelle). Dritte können zudem unter Umständen Einblick in das Display und damit in die Identität des Anrufers haben.
Õ Der Anrufer soll die Möglichkeit haben, die Anzeige seiner Rufnummer fallweise zu unterdrücken.
Problematik: Es wird – möglicherweise ohne das Wissen des Anrufers – die Tatsache festgehalten, dass er zu einem bestimmten Zeitpunkt versucht hat anzurufen. Die Anruferliste kann unter Umständen auch von Dritten eingesehen werden.
Õ Die fallweise Rufnummernunterdrückung verhindert ungewollte Einträge in Anruferlisten. Õ Die Anruferlisten sind vor unberechtigtem Zugriff zu schützen.
Direktes Ansprechen / Durchsage Mit diesem Leistungsmerkmal kann der Mitarbeiter direkt über einen Lautsprecher des Telefons angesprochen werden, ohne dass er den Hörer abzunehmen oder eine sonstige Funktion zu betätigen braucht.
Tätigkeitsbericht 1999/2000 des EDSB 116 Problematik: Neben der Störung der Mitarbeiter durch Ansprechen kann eine Abhörung durch Lautsprecher stattfinden, falls das Aktivieren nicht bemerkt wird.
Õ Das direkte Ansprechen soll auf bestimmte Ziele beschränkt werden. Õ Die Möglichkeit des Ansprechens muss deutlich signalisiert werden. Õ Mit einem Ansprechschutz ist ein ungewolltes Ansprechen zu verhindern.
Problematik: Es können unter Umständen unbemerkt Teilnehmer zugeschaltet werden und das Gespräch verfolgen, ohne dass dies allen andern Teilnehmern bewusst ist.
Õ Das Hinzukommen und Verlassen muss durch (unterschiedliche) Signalisierungen allen Beteiligten zur Kenntnis gebracht werden. Õ Wünschenswert ist die Möglichkeit der individuellen Abfrage der Anzahl bzw. die Identifikation aller Teilnehmer.
Problematik: Das telefonische Verhalten der Mitarbeiter kann überwacht werden. Bei gleichzeitigem Aufleuchten/Erlöschen zweier Lämpchen kann sogar mit grosser Wahrscheinlichkeit darauf geschlossen werden, wer mit wem intern telefoniert.
Õ Dieses Merkmal darf nicht zu einer unbemerkten Kontrolle führen. Õ Die Tasten dürfen nicht frei programmierbar sein, damit nicht unvorgesehene Funktionen aktiviert werden können. E. Datensicherheit und Auskunftsrecht Der Arbeitgeber hat die Daten, die in Zusammenhang mit der Telefonie bearbeitet werden, durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten zu schützen 9 . Er sorgt insbesondere für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten 10 . Der Arbeitnehmer kann vom Arbeitgeber jederzeit Auskunft darüber verlangen, ob Daten über ihn bearbeitet werden 11 . Falls Sie zusätzliche Fragen haben, wenden Sie sich an den Eidgenössischen Datenschutzbe- auftragten, 3003 Bern, Tel. 031/322 43 95, oder an die Datenschutzbeauftragten der Kantone.
9 Art. 7 Abs. 1 DSG 10 Art. 8 Abs. 1 der Verordnung zum DSG (VDSG, SR 235.11) 11 Art. 8 Abs. 1 DSG.
Tätigkeitsbericht 1999/2000 des EDSB 117 3.Merkblatt über den Umgang mit Adressen von Vereinsmitgliedern Der Eidgenössische Datenschutz- beauftragte informiert : MERKBLATT ÜBER DEN UMGANG MIT ADRESSEN VON VEREINSMITGLIEDERN Mit Personendaten von Mitgliedern eines Vereins wie bspw. Adressen muss sorgfältig umgegangen werden. Das Organ, dem diese Daten zur Erfüllung seiner Aufgaben anvertraut werden, trägt die Verantwortung für den datenschutzkonformen Umgang damit. Nach dem Bundesgesetz über den Datenschutz dürfen Personendaten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Weitergabe an Dritte Die Weitergabe von Mitgliederadressen eines Vereins an Dritte ist somit nur zulässig, wenn:
dies aus den Vereinsstatuten klar hervorgeht (möglichst präzise Formulierung des Zwecks), oder Achtung: Jedem Mitglied steht es jederzeit absolut frei, von seinem Sperrecht Gebrauch zu machen, resp. eine einmal gegebene Einwilligung teilweise oder ganz zu widerrufen.
vorgängig die Einwilligung eines jeden Mitglieds dazu eingeholt wird oder allen Mitgliedern unter vorgängiger Mitteilung des Empfängers und des Zwecks der Weitergabe ein Widerspruchsrecht eingeräumt wird, oder
eine rechtliche Verpflichtung dazu besteht. Merke:Auch ein Dachverband gilt in diesem Zusammenhang als Drittperson. Ein Verein ist grundsätzlich eine unabhängige juristische Person mit eigener Rechtspersönlichkeit. Weitergabe an Vereinsmitglieder Die Aushändigung von Mitgliederlisten an Vereinsmitglieder ist zulässig, wenn:
die Liste zur Ausübung von Mitgliedschaftsrechten benötigt wird. Beispiel: Einberufung einer ausserordentlichen Mitgliederversammlung (Art. 64 Abs. 3 ZGB). Achtung:Die Einhaltung statutarischer Formvorschriften darf die Ausübung von Mitgliedschaftsrechten nicht erheblich erschweren.
die Betroffenen Ihre Einwilligung dazu gegeben haben. Merke:Um Missbräuchen entgegenzuwirken, empfiehlt es sich, von Mitgliedern, an die eine solche Adressliste ausgehändigt wird, eine Zusicherung zu verlangen, dass die Adressen nicht für andere Zwecke, bspw. für die Versendung von Werbung verwendet werden.
Tätigkeitsbericht 1999/2000 des EDSB 118 Auskunftsrecht // Einsichtnahme der Vereinsmitglieder in sie betreffende Unterlagen Gemäss Datenschutzgesetz hat jede Person sowie ihr Rechtsvertreter das Recht, beim Inhaber einer Datensammlung Auskunft darüber zu verlangen, ob und welche Daten über ihre Person bearbeitet werden. Einzelheiten zum Auskunftsrecht finden sich im "Leitfaden des Eidgenössischen Datenschutzbeauftragten über die Rechte der betroffenen Personen". Zugänglichmachen von Mitgliederadressen auf der vereinseigenen Website Eine solche Publikation bedarf der Einwilligung der Betroffenen, weil das Internet besondere Missbrauchsgefahren mit sich bringt. Eine rechtsgültige Einwilligung liegt vor, wenn die betroffenen Personen vorgängig darauf aufmerksam gemacht wurden, dass ihre Daten weltweit, d.h. auch in Staaten mit niedrigem Datenschutzniveau abrufbar sind. Zudem ist auf die generellen Risiken, wie bspw. weitreichende Verknüpfbarkeit, keine Garantie der Integrität, Authentizität und Verfügbarkeit hinzuweisen. Ein Modell für eine solche Einwilligungsklausel ist beim Eidgenössischen Datenschutzbeauftragten erhältlich. Rechtsansprüche und Verfahren Bei Persönlichkeitsverletzungen hat die betroffene Person die Möglichkeit, sich gestützt auf Art. 15 DSG an den Zivilrichter zu wenden. Der Kläger kann insbesondere verlangen, dass die Personendaten berichtigt oder vernichtet werden oder dass die Bekanntgabe an Dritte gesperrt wird. Bei der Verletzung von Mitgliedschaftsrechten kann zudem gestützt auf Art. 75 ZGB der Richter angerufen werden. Weitere Informationen zum Datenschutz finden Sie unter www.edsb.ch oder wenden Sie sich bitte direkt an den Eidgenössischen Datenschutzbeauftragten, 3003 Bern, Tel. 031/322 43 95.
Tätigkeitsbericht 1999/2000 des EDSB 119 4.Empfehlung des Europarats über den Schutz von Personendaten, die zu statistischen Zwecken erhoben und bearbeitet werden (texte français, voir annexe 1 dans 5e Rapport d’activités 1997/98, p. 257ss.) Europarat MINISTERKOMITEE Empfehlung Nr. R (97) 18 DES MINISTERKOMITEES AN DIE MITGLIEDSTAATEN über den Schutz der personenbezogenen Daten, die für statistische Zwecke erhoben und verarbeitet werden (angenommen vom Ministerkomitee am 30. September 1997, anlässlich der 602. Sitzung der Ministerdelegierten) Das Ministerkomitee, gestützt auf Artikel 15.b der Statuten des Europarates, In Erwägung, dass es das Ziel des Europarates ist, eine engere Verbindung zwischen seinen Mitgliedern herzustellen; Im Bewusstsein der Bedürfnisse sowohl im öffentlichen wie im privaten Sektor nach verlässlichen Statistiken für die Analyse und das Verständnis von Struktur und Entwicklung der heutigen Gesellschaft und zur Festlegung von Politiken und Strategien für die zu treffenden Massnahmen in praktisch allen Bereichen des täglichen Lebens; In Anerkennung, dass die Bereitstellung verlässlicher Statistiken weitgehend von der Erhebung möglichst vollständiger Informationen und der Verarbeitung solcher Informationen mit immer leistungsfähigeren informatischen Hilfsmitteln abhängt; Im Bewusstsein der Tatsache, dass solche Informationen bestimmte oder bestimmbare natürliche Personen betreffen können (”personenbezogene Daten”); Im Bewusstsein der Notwendigkeit, Techniken zu entwickeln, womit die Anonymität der betreffenden Personen gewährleistet werden kann; In Erwägung der Anliegen der internationalen Gemeinschaft der Statistiker bezüglich des Schutzes der personenbezogenen Daten sowie der Entwicklung internationaler Empfehlungen zur Berufsethik der Statistiker; In Erwägung zudem der wesentlichen Grundsätze der offiziellen Statistik, die von der internationalen Gemeinschaft im Rahmen der Organisation der Vereinten Nationen angenommen wurden; In der Feststellung der zunehmenden Entwicklung nationaler und supranationaler rechtlicher Vorschriften sowohl auf dem Gebiet der statistischen Tätigkeit wie demjenigen des Schutzes von personenbezogenen Daten;
Tätigkeitsbericht 1999/2000 des EDSB 120 In Erinnerung dazu an die allgemeinen Grundsätze bezüglich Datenschutz des Übereinkommens über den Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Strassburg 1981, Reihe Europäischer Staatsverträge Nr. 108); In Erinnerung zudem an die Abweichungen, die im Übereinkommen zugunsten der statistischen Tätigkeit anerkannt werden, unter Berücksichtigung bestimmter Rechte, die die betroffenen Personen ausüben können; In der Feststellung, dass Abweichungen in diesem Sinne auch von verschiedenen Mitgliedstaaten in den bestehenden oder derzeit entstehenden Gesetzgebungen bezüglich Datenschutz vorgesehen sind; In Erwägung, dass ein Gleichgewicht zwischen der Notwendigkeit der Bereitstellung von Statistiken einerseits und dem unerlässlichen Schutz des Menschen andererseits gefunden werden muss, insbesondere bei der Verwendung von automatischer Datenverarbeitung; Im Bewusstsein der Notwendigkeit, geeignete Verfahren einzurichten, welche die Interessen der verschiedenen betroffenen Parteien miteinander vereinbaren lassen; Im Bewusstsein der Tatsache, dass sich mit dem Fortschritt der statistischen Methoden und der seit 1983 erfolgten Entwicklung der Informationstechnologie eine Überarbeitung mehrerer Bestimmungen der Empfehlung Nr. R (83) 10 über den Schutz der personenbezogenen Daten, die für wissenschaftliche und statistische Zwecken verwendet werden, aufdrängt, Empfiehlt den Mitgliedstaaten:
Massnahmen zu treffen, damit sich die im Anhang zu dieser Empfehlung enthaltenen Grundsätze in ihrem Recht und in ihrer Praxis niederschlagen; 2.eine breite Verteilung der im Anhang zu dieser Empfehlung enthaltenen Grundsätze unter die Personen, öffentlichen Behörden und Institutionen zu gewährleisten, die im öffentlichen oder privaten Bereich personenbezogenen Daten für statistische Zwecke erheben und verarbeiten, sowie die für den Datenschutz verantwortlichen Stellen; 3.diese Personen, öffentlichen Behörden und Institutionen anzuregen, falls sie es noch nicht getan haben, ethische Verhaltensregeln einzuführen und sich dabei an den Anhang zu dieser Empfehlung zu halten; Beschliesst, dass diese Empfehlung die Empfehlung Nr. R (83) 10 über den Schutz der personenbezogenen Daten, die für wissenschaftliche und statistische Zwecke verwendet werden, ersetzt, wo jene Empfehlung sich auf die Erhebung und Verarbeitung von personenbezogenen Daten für statistische Zwecke bezieht. Anhang zu Empfehlung Nr. R (97) 18
Definitionen In dieser Empfehlung bedeuten die Ausdrücke: ”Personenbezogene Daten”: jede Information, die eine bestimmte oder bestimmbare natürliche Person betrifft (betroffene Person). Eine natürliche Person wird nicht als ”bestimmbar” angesehen, wenn diese Bestimmung einen ausserordentlich hohen Aufwand an Zeit und Arbeit erfordert. Wenn eine natürliche Person nicht bestimmbar ist, werden die Daten als anonym bezeichnet.
Tätigkeitsbericht 1999/2000 des EDSB 121 ”Bestimmungsdaten”: personenbezogene Daten, mit denen die direkte Bestimmung der betroffenen Person möglich ist und die für die Erhebung, die Kontrolle und den Vergleich der Daten erforderlich sind, jedoch anschliessend bei der Erstellung der statistischen Resultate nicht mehr verwendet werden. ”Sensible Daten”: personenbezogene Daten, welche über die rassische Herkunft, politische Meinungen, religiöse oder andere Überzeugungen Auskunft geben, sowie personenbezogene Daten in bezug auf Gesundheit, Geschlechtsleben oder Strafverfolgungen sowie andere vom innerstaatlichen Recht als sensibel bezeichnete Daten. ”Verarbeitung”: jede Handlung oder Gesamtheit von Handlungen, die teilweise oder ganz unterstützt von automatischen Verfahren ausgeführt und auf personenbezogene Daten angewendet wird: Registrierung, Aufbewahrung, Anpassung oder Veränderung, Auszug, Einsicht, Verwendung, Bekanntgabe, Vergleich oder Verbindung sowie Löschung oder Vernichtung. ”Bekanntgabe”: die Handlung, die zum Zugang für Dritte zu personenbezogenen Daten führt, unabhängig von Mitteln oder Geräten, die dazu verwendet werden. ”Zu statistischen Zwecken”: alle Handlungen der Erhebung oder Verarbeitung von personenbezogenen Daten, die bei statistischen Umfragen oder zur Erarbeitung statistischer Resultate erforderlich sind. Solche Handlungen schliessen jede Verwendung der gewonnenen Informationen für Entscheide oder Massnahmen aus, die eine bestimmten Person betreffen. ”Statistische Resultate”: eine durch die Verarbeitung von personenbezogenen Daten gewonnene Information, die dazu dient, das Wesen einer Gesamterscheinung in einer festgelegten Bevölkerungsgruppe festzustellen. ”Verarbeitungsverantwortlicher”: natürliche oder juristische Person der öffentlichen Behörde oder jeder anderen Institution, die allein oder in Zusammenarbeit mit anderen, Ziele und Mittel – insbesondere die Organisation – der Erhebung und der Verarbeitung von personenbezogenen Daten festlegt.
Geltungsbereich 2.1.Diese Empfehlung gilt für die Erhebung und die automatische Verarbeitung von personenbezogenen Daten für statistische Zwecke. Sie gilt ebenfalls für die statistischen Resultate, soweit mit diesen die Bestimmung der betroffenen Personen möglich ist. 2.2.Die Mitgliedstaaten werden angeregt, den Geltungsbereich dieser Empfehlung auf die nicht automatische Verarbeitung von personenbezogenen Daten für statistische Zwecke auszudehnen. 2.3.Es darf keine Verarbeitung von personenbezogenen Daten auf nicht automatische Weise durchgeführt werden, um die Bestimmungen dieser Empfehlung zu umgehen. 2.4.Die Mitgliedstaaten können den Geltungsbereich der in dieser Empfehlung erwähnten Grundsätze auch auf die Erhebung und Verarbeitung von Daten erweitern, die Personengruppen, Vereine, Stiftungen, Gesellschaften, Korporationen oder jede andere Institution betreffen, die direkt oder indirekt natürliche Personen versammelt und Rechtspersönlichkeit hat oder nicht hat.
Tätigkeitsbericht 1999/2000 des EDSB 122
Achtung der Privatsphäre 3.1 Die Achtung der Grundfreiheiten und insbesondere des Rechtes auf ein Privatleben muss bei der Erhebung und Verarbeitung von personenbezogenen Daten für statistische Zwecke gewährleistet sein sowie a.bei der Aufbewahrung dieser Daten für eine spätere Verwendung; b.bei der Verbreitung der statistischen Resultate; und c.bei der allfälligen Änderung der personenbezogenen Daten, wenn diese Änderung zur Verbesserung der Aussagekraft der statistischen Resultate oder aus Gründen der Vertraulichkeit erforderlich sind; 3.2.Innerstaatliches Recht und Praxis müssen Personen unter das Berufsgeheimnis stellen, die von personenbezogenen Daten Kenntnis haben. 3.3.Die für statistische Zwecke erhobenen und verarbeiteten personenbezogenen Daten müssen anonymisiert werden, sobald sie nicht mehr in bestimmbarer Form benötigt werden.
Allgemeine Bestimmungen der Erhebung und Verarbeitung für statistische Zwecke Zweck 4.1.Die für statistische Zwecke erhobenen und verarbeiteten personenbezogenen Daten dürfen nur für diese Zwecke dienen. Sie dürfen nicht verwendet werden, um einen Entscheid oder eine Massnahme hinsichtlich einer betroffenen Person zu treffen, oder um eine Datei zu vervollständigen oder zu berichtigen, deren personenbezogene Daten für nichtstatistische Zwecke verwendet werden. 4.2.Die Verarbeitung für statistische Zwecke von personenbezogenen Daten, die für nichtstatistische Zwecke erhoben wurden, ist nicht unvereinbar mit dem/den Zweck(en), für die die Daten ursprünglich erhoben wurden, soweit geeignete Garantien, insbesondere zur Verhinderung der Verwendung der Daten zur Stützung von Entscheiden oder Massnahmen hinsichtlich der betroffenen Person, vorgesehen sind. Gesetzlichkeit 4.3.Personenbezogene Daten können für statistische Zwecke erhoben und verarbeitet werden: a.wenn das Gesetz es vorsieht; oder b.soweit die Massnahme oder das Gesetz es erlaubt, und: i.wenn die betroffene Person oder ihr gesetzlicher Vertreter im Sinne von Grundsatz 6 eingewilligt hat; oder ii.wenn die betroffene Person über die Erhebung oder die Verarbeitung ihrer Daten informiert wurde und sich nicht dagegen gestellt hat und soweit diese Verarbeitung nicht sensible Daten betrifft; oder iii.wenn eine Person aufgrund der Umstände der Erhebung und des Ziels der Ermittlung im Namen und anstelle anderer Personen im Sinne von Grundsatz 6 antworten kann und soweit offensichtlich keine Gefahr der Beeinträchtigung des Privatlebens jener Personen besteht und insbesondere die Verarbeitung keine sensiblen Daten betrifft.
Tätigkeitsbericht 1999/2000 des EDSB 123 4.4.Um zu vermeiden, dass die gleichen Daten ein weiteres Mal erhoben werden, können die für nichtstatistische Zwecke erhobenen Daten auch für statistische Zwecke verarbeitet werden, wenn dies erforderlich ist: a.für die Ausführung eines Auftrags im öffentlichen Interesse oder wenn dies zu den Aufgaben der öffentlichen Behörde gehört; oder b.für die Realisierung des rechtmässigen Interesses, das vom Verarbeitungsverantwortlichen verfolgt wird, vorausgesetzt dass die Rechte und Grundfreiheiten der betroffenen Person nicht gewichtiger sind. Unter den gleichen Bedingungen können die für einen statistischen Zweck erhobenen Daten auch für andere statistische Zwecke verwendet werden. 4.5.Die personenbezogenen Daten können nur zwingend im Hinblick auf eine Verarbeitung für statistische Zwecke erhoben werden, wenn das innerstaatliche Recht dies verlangt. 4.6.Die personenbezogenen Daten oder Einheiten von personenbezogenen Daten können für statistische Zwecke verglichen oder verbunden werden, wenn das innerstaatliche Recht geeignete Garantien einrichtet, um ihre Verarbeitung und Bekanntgabe für nichtstatistische Zwecke zu verhindern. Verhältnismässigkeit 4.7.Erhebung und Verarbeitung von personenbezogenen Daten müssen auf die für die verfolgten statistischen Zwecke erforderlichen Daten beschränkt bleiben. Insbesondere dürfen die Bestimmungsdaten nur erhoben und verarbeitet werden, wenn dies nötig ist. Sensible Daten 4.8.Werden sensible Daten für statistische Zwecke verarbeitet, müssen diese Daten so erhoben werden, dass die betroffenen Personen nicht bestimmbar sind. Wenn das rechtmässige und spezifische Ziel einer Verarbeitung sensibler Daten für statistische Zwecke die Tatsache, dass die betroffenen Personen bestimmbar sind, erforderlich macht, muss das innerstaatliche Recht geeignete Garantien, einschliesslich spezifische Massnahmen für die Trennung der Bestimmungsdaten von der Erhebung an vorsehen, ausser wenn dies offensichtlich nicht sinnvoll oder nicht machbar ist.
Die Information der Personen Primäre Erhebung 5.1.Werden personenbezogene Daten für statistische Zwecke erhoben, müssen die befragten Personen über folgende Elemente informiert werden: a.den obligatorischen oder freiwilligen Charakter der Antworten und die allfällige rechtliche Begründung der Erhebung; b.das oder die Ziel(e) der Erhebung und der Verarbeitung; c.Name und Status der Person oder der für die Erhebung und/oder Verarbeitung verantwortlichen Institution;
Tätigkeitsbericht 1999/2000 des EDSB 124 d.die Tatsache, dass diese Daten vertraulich behandelt und nur für statistische Zwecke verwendet werden; e.die Möglichkeit, auf Verlangen weitere Informationen zu erhalten. Auf ihr Verlangen und/oder nach den vom innerstaatlichen Recht festgelegten Modalitäten müssen die betroffenen Personen ebenfalls informiert werden: f.im Falle einer freiwilligen Befragung: über die Modalitäten einer Verweigerung oder Zurücknahme der Einwilligung und im Falle einer obligatorischen Befragung über die allfälligen Straffolgen; g.gegebenenfalls über die Bedingungen der Ausübung des Auskunfts- und Berichtigungsrechts; h.über die Kategorien von Personen oder Institutionen, denen die personenbezogenen Daten mitgeteilt werden könnten; i.über die Garantien zur Gewährleistung der Vertraulichkeit und den Schutz der personenbezogenen Daten; j.über die Kategorien erhobener und verarbeiteter Daten. 5.2.Werden die betroffenen Personen nicht direkt befragt, müssen sie über die Existenz der Erhebung informiert werden, ausser wenn dies offensichtlich nicht sinnvoll oder nicht machbar ist. Sie müssen die Möglichkeit haben, sich in geeigneter Art und Weise über die unter Grundsatz 5.1 erwähnten Elemente zu informieren. 5.3.Ob betroffen oder nicht müssen die befragten Personen spätestens zum Zeitpunkt der Datenerhebung informiert werden. Modalitäten und Ausmass der Information müssen geeignet und den Umständen angepasst sein. Wenn es aufgrund des Gegenstands und der Art der Befragung für ihr rechtmässiges Ziel nötig ist, kann die Information oder ein Teil der Information später erteilt werden. Sobald die Notwendigkeit nicht mehr besteht, muss sie erteilt werden werden, ausser wenn dies offensichtlich nicht sinnvoll oder nicht machbar ist. Wurden die Daten unter solchen Umständen bei der betroffenen Person erhoben, muss sie zu einem späteren Zeitpunkt informiert werden. Sekundäre Erhebung 5.4.Die Verarbeitung und Bekanntgabe für statistische Zwecke von personenbezogenen Daten, die für nichtstatistische Zwecke erhoben wurden, ist Gegenstand einer geeigneten öffentlichen Verbreitung. Die betroffenen Personen müssen die Möglichkeit haben, sich angemessen über die unter Grundsatz 5.1 aufgeführten Elemente zu informieren, ausser wenn a.die Erteilung der Information sich als unmöglich erweist oder einen unverhältnismässigen Aufwand erfordert; oder b.die Verarbeitung oder Bekanntgabe von Daten für statistische Zwecke vom innerstaatlichen Recht nicht ausdrücklich vorgesehen ist. In Fällen gemäss Buchstaben a und b müssen geeignete Garantien vorgesehen werden. Nicht handlungsfähige Personen
Tätigkeitsbericht 1999/2000 des EDSB 125 5.5.Ist die betroffene Person nicht handlungsfähig und nicht in der Lage, sich frei zu äussern, und gestattet das innerstaatliche Recht ihr nicht, in ihrem eigenen Namen zu handeln, muss die Information an die Person abgegeben werden, die gesetzlich im Namen der betroffenen Person handeln kann. Ist die nicht handlungsfähige Person urteilsfähig, muss sie informiert werden, bevor ihre Daten erhoben oder verarbeitet werden.
Einwilligung 6.1.Ist die Einwilligung der betroffenen Person erforderlich, muss sie freiwillig, eindeutig und unbezweifelbar sein. Die betroffene Person muss die Möglichkeit haben, sowohl ihre Einwilligung für eine einzelne Befragung zurückzuziehen, bevor die Bestimmungsdaten von den anderen erhobenen Daten getrennt werden, wie auch ihre Mitarbeit an einer zeitlich gestaffelten Befragung jederzeit und ohne Rückwirkung zu unterbrechen. 6.2.Ist dies für die Erhebung oder Verarbeitung von sensiblen Daten erforderlich, muss die Einwilligung der betreffenden Person ausdrücklich, freiwillig und eindeutig sein. Das legitime Ziel der Befragung befreit nicht von dieser Einwilligung, ausser wenn eine solche Abweichung sich durch das öffentliche Interesse rechtfertigt. 6.3.Betreffen die für statistische Zwecke zu verarbeitenden personenbezogenen Daten eine nicht handlungsfähige Person, welche nicht in der Lage ist, sich frei zu äussern, und erlaubt das innerstaatliche Recht der betroffenen Person nicht, in ihrem eigenen Namen zu handeln, so ist die Einwilligung der Person erforderlich, die gesetzlich im Namen der betroffenen Person handeln kann, oder die Einwilligung einer vom Gesetz dafür bezeichneten Behörde, Person oder Instanz. Wenn gemäss Grundsatz 5.5 weiter oben die nicht handlungsfähige Person darüber informiert wurde, dass ihre personenbezogenen Daten erhoben und verarbeitet werden sollen, könnte ihr Wille berücksichtigt werden, wenn das innerstaatliche Recht nicht dagegen spricht. 6.4.Die Antwortverweigerung darf keine Straffolgen haben, ausser wenn sie vom innerstaatlichen Recht vorgesehen sind.
Auskunfts- und Berichtigungsrechte 7.1.Jede Person kann die Bekanntgabe ihrer personenbezogenen Daten im Besitze des Verarbeitungsverantwortlichen und gegebenenfalls deren Berichtigung erreichen. 7.2.In den Fällen, in denen offensichtlich kein Risiko besteht, dass das Privatleben der betroffenen Person beeinträchtigt wird, kann dieses Recht jedoch gemäss innerstaatlichem Recht eingeschränkt werden, wenn die personenbezogenen Daten allein für statistische Zwecke verarbeitet werden und geeignete spezifische Massnahmen bestehen zur Verhinderung jeder Bestimmung durch Dritte aufgrund individueller Daten oder aufgrund statistischer Resultate.
Tätigkeitsbericht 1999/2000 des EDSB 126
Anonymität 8.1.Die für statistische Zwecke erhobenen personenbezogenen Daten, werden nach Abschluss der Erhebungs-, Kontroll- oder Vergleichsvorgänge anonymisiert, ausser wenn a.die Bestimmungsdaten für statistische Zwecke erforderlich sind und die in Grundsatz 10.1 vorgesehenen Massnahmen getroffen wurden; oder b.die Art der statistischen Verarbeitung selber weitere Verarbeitungsvorgänge erfordert, bevor die Daten anonymisiert werden, und soweit die in den Grundsätzen 15.1 bis 15.3 vorgesehenen Schutzmassnahmen getroffen wurden.
Primäre Erhebung der personenbezogenen Daten für statistische Zwecke 9.1.Die Erhebung von personenbezogenen Daten muss, insbesondere was die Information der Personen und ihre Antwortfreiheit betrifft, loyal erfolgen. 9.2.Die Erhebung von personenbezogenen Daten wird bei der betroffenen Person oder je nach Art der Befragung bei einem Mitglied ihres Haushalts durchgeführt. Die Erhebung von personenbezogenen Daten bei einer anderen als der betroffenen Person oder einem Mitglied ihres Haushalts sowie die Erhebung bei juristischen Personen wie Unternehmen oder öffentlichen Institutionen darf nur durchgeführt werden, wenn das innerstaatliche Recht dies und einen geeigneten Schutz vorsieht oder wenn offensichtlich kein Risiko besteht, dass die Rechte und Grundfreiheiten der betroffenen Personen beeinträchtigt werden. 9.3.Die Erhebung für statistische Zwecke von personenbezogenen Daten ohne Befragung darf weder Bestimmungsdaten umfassen noch mit Bestimmungsdaten verbunden werden, ausser wenn das innerstaatliche Recht für einen geeigneten Schutz sorgt und a.die Verarbeitung mit den Bestimmungsdaten vorsieht, oder b.gestattet, dass die erhobenen Daten mit den Bestimmungsdaten verbunden werden, um eine repräsentative Auswahl zu erstellen. 9.4.Die Daten der nichtantwortenden Personen, welche für die Planung oder die Ausführung der Befragung wesentlich sind, und Informationen über die Gründe des Fehlens einer Antwort dürfen nur verwendet werden, um den repräsentativen Charakter einer Befragung sicherzustellen. 9.5.Sofern die Erhebung von personenbezogenen Daten erfordert, dass auf Befrager oder andere Personen, welche die erteilten Antworten direkt kennen müssen, zurückgegriffen wird, muss sowohl der Wahl der Personen wie auch der Wahl der Organisation und der Befragungsmethoden besondere Aufmerksamkeit geschenkt werden, damit der Zweck der Befragung eingehalten wird sowie die Vertraulichkeit der Daten und der Schutz des Privatlebens gewährleistet sind. 9.6.Der Verarbeitungsverantwortliche muss geeignete Massnahmen treffen, damit die befragte Person die Rechtmässigkeit der Befrager überprüfen kann.
Tätigkeitsbericht 1999/2000 des EDSB 127
Bestimmungsdaten 10.1.Werden die Bestimmungsdaten für statistische Zwecke erhoben und verarbeitet, müssen sie getrennt werden und von anderen personenbezogenen Daten getrennt aufbewahrt werden, ausser wenn dies offensichtlich nicht sinnvoll oder nicht machbar ist. 10.2.Sieht das innerstaatliche Recht dies vor, können die Bestimmungsdaten zur Erstellung einer Adresskartei für statistische Zwecke verwendet werden, sofern die betroffene Person darüber informiert wurde und sich nicht dagegen gestellt hat oder die Daten aus einem öffentlich zugänglichen Verzeichnis stammen.
Erhaltung der Daten 11.1.Sofern die Daten nicht anonymisiert werden oder das innerstaatliche Recht nicht die Erhaltung der Daten für Aufbewahrungszwecke mittels geeigneter Garantien vorsieht, müssen die personenbezogenen Daten, die für statistische Zwecke erhoben und verarbeitet wurden, vernichtet oder gelöscht werden, sobald sie für diese Zwecke nicht mehr erforderlich sind. Insbesondere müssen die Bestimmungsdaten vernichtet oder gelöscht werden, sobald sie nicht mehr gebraucht werden für a.Verfahren der Erhebung, Kontrolle oder des Datenvergleichs, b.die Gewährleistung des repräsentativen Charakters der Umfrage; oder c.eine Wiederholung der Befragung mit den gleichen Personen.
Bekanntgabe 12.1.Die für statistische Zwecke erhobenen personenbezogenen Daten dürfen nicht für nichtstatistische Zwecke bekanntgegeben werden. 12.2.Personenbezogene Daten, die für einen besonderen statistischen Zweck erhoben wurden, können für andere statistische Zwecke bekannt gegeben werden, wenn diese genau festgelegt und zeitlich begrenzt sind. 12.3.Sofern das innerstaatliche Recht keine Sicherheiten hinsichtlich der Bekanntgabe vorsieht, muss sie nach dem Grundsatz 12.2 in einem schriftlichen Dokument über die Rechte und Pflichten der Parteien erfolgen. Bei der Bekanntgabe der Daten muss der Verarbeitungsverantwortliche insbesondere a.festhalten, dass dieser Dritte die fraglichen Daten nur mit dem ausdrücklichen Einverständnis des genannten Verarbeitungsverantwortlichen selber bekanntgeben kann; b.festhalten, dass dieser Dritte geeignete Sicherheitsmassnahmen gemäss den Grundsätzen 15.1 bis 15.3 dieser Empfehlung trifft; c.sich vergewissern, dass jede Veröffentlichung der statistischen Resultate, die von diesem Dritten erhoben wurden, Kapitel 14 dieser Empfehlung entspricht; 12.4.Ausserdem können die sensiblen Daten, soweit das innerstaatliche Recht nicht dagegen spricht, nur bekanntgegeben werden, wenn das Gesetz dies vorsieht oder wenn die betroffene Person oder ihr gesetzlicher Vertreter dem ausdrücklich zugestimmt hat.
Tätigkeitsbericht 1999/2000 des EDSB 128
Grenzüberschreitender Datenverkehr 13.1.Die Grundsätze dieser Empfehlung gelten für die grenzüberschreitende Bekanntgabe von personenbezogenen Daten für statistische Zwecke. 13.2.Die grenzüberschreitende Bekanntgabe von personenbezogenen Daten an einen Staat, der das Übereinkommen Nr. 108 12 ratifiziert hat, muss keinen besonderen Bedingungen zum Schutz des Privatlebens und der Rechte und Grundfreiheiten des Menschen unterstellt werden, wenn dieser Staat ein Schutzniveau gewährleistet, das den Grundsätzen des Übereinkommens und dieser Empfehlung entspricht. 13.3.Bei der Bekanntgabe von personenbezogenen Daten für statistische Zwecke an einen Staat, der das Übereinkommen Nr. 108 nicht ratifiziert hat, sollte es keine Einschränkung der grenzüberschreitenden Bekanntgabe geben, wenn dieser Staat ein Schutzniveau gewährleistet, das den Grundsätzen des Übereinkommens und dieser Empfehlung entspricht. 13.4.Sofern das innerstaatliche Recht nichts anderes vorsieht, sollte eine grenzüberschreitende Bekanntgabe von personenbezogenen Daten für statistische Zwecke im allgemeinen nicht an Staaten erfolgen, die keinen Schutz entsprechend demjenigen der Grundsätze des Übereinkommens Nr. 108 und dieser Empfehlung garantieren, ausser wenn a.nötige Massnahmen, einschliesslich jene vertraglicher Art, zur Einhaltung der Grundsätze des Übereinkommens und dieser Empfehlung getroffen wurden; oder b.die betroffene Person dazu ausdrücklich ihr Einverständnis gegeben hat.
Statistische Resultate 14.1.Die statistischen Resultate dürfen nur veröffentlicht oder an Dritte weitergegeben werden, wenn die nötigen Massnahmen getroffen wurden, die gewährleisten, dass die betroffenen Personen nicht anhand dieser Resultate bestimmt werden können, und insofern die Verbreitung oder Veröffentlichung offensichtlich nicht das Risiko birgt, das Privatleben dieser Personen zu beeinträchtigen.
Sicherheit der Daten 15.1.Die für die Verarbeitung verantwortlichen Personen müssen dafür sorgen, dass die Vertraulichkeit der personenbezogenen Daten durch geeignete technische und organisatorische Massnahmen gewährleistet ist. Sie treffen insbesondere Massnahmen gegen den Zugriff, die Änderung, die Bekanntgabe oder jede andere Art nicht bewilligter Verarbeitung. 15.2.Müssen die Daten in einer bestimmbaren Form erhalten bleiben, so muss von organisatorischen und technischen (insbesondere den informatischen) Ressourcen Gebrauch gemacht werden, um eine unerlaubte Bestimmung der betroffenen Person zu verhindern. 15.3.Es müssen Massnahmen getroffen werden, um zu verhindern, dass die betroffenen Personen wiederbestimmt werden können und dass die für statistische Zwecke erhobenen personenbezogenen Daten für nichtstatistische Zwecke verwendet werden können.
12 Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, Strassburg, 28. Januar 1981 (Reihe Europäischer Staatsverträge Nr. 108).