@vqtrvpur Q sq hyyh 9hrpuirhs htr rpvqrqr
" Uvtxrvir vpu"r Sh qhpvv (($(% (($(%
by EDSB Alle Urheberrechte und Vertragsrechte vorbehalten Vertrieb: Eidg. Drucksachen- und Materialzentrale, 3003 Bern
Uvtxrvir vpu (($(%qr@vqtrvpur9hrpuirhs htr $ Dieser Bericht ist auch über das Internet (www.edsb.ch ) abrufbar
Sh qhpvv (($(%qQ sq hyyh rpvqrqr Ce rapport est également disponible sur Internet (www.edsb.ch )
@vqtrvpur 9hrpuirhs htr
Uvtxrvir vpu (($(%
Der Eidgenössische Datenschutzbeauftragte hat dem Bundesrat periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 Datenschutzgesetz). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 1995 und 31. März 1996 ab.
*: Originalversion auf Französisch DIC6GUTW@Sa@D8CIDT INHALTSVERZEICHNIS 5 ABKÜRZUNGSVERZEICHNIS 9 I. AUSGEWÄHLTE THEMEN 10
Polizeiwesen 10 1.1. Organisiertes Verbrechen - Das System DOSIS* 10 1.2. Geldwäscherei - Entwurf eines Bundesgesetzes* 12 1.3. Innere Sicherheit - Debatten in den Eidgenössischen Räten* 13 1.4. Das automatische Fingerabdruck-Identifizierungssystem AFIS 14 1.5. Vollautomatisiertes Strafregister 15 1.6. Revision des Strassenverkehrsgesetzes 15
Ausländer- und Asylrecht 16 2.1. Zugriff von Polizeistellen auf das Zentrale Ausländerregister ZAR 16 2.2. Kleine Teilrevision der ZAR-Verordnung 17 2.3. Schweizer und Schweizerinnen im Zentralen Ausländerregister 18 2.4. Höchstzahl Tänzerinnen pro Betrieb 19 2.5. Suchabfragen im ZAR 19 2.6. Provisorische Weisungen betreffend die Protokollierung im ZAR 19 2.7. Papierloses Personendossier-Verwaltungssystem REGI-2 20 2.8. Automatisiertes Personenregistratursystem AUPER-2 21 2.9. Konto für Sicherheitsleistungen der Asylbewerber ("Sicherheitskonto") 22 2.10. Liegenschafts- und Fürsorgekostenabrechnungssystem LIFAS 23 2.11. Revision des Ausländer- und des Asylgesetzes 23
Telekommunikation 24 3.1. Internet - Die Datenschutzleitplanken auf dem Datahighway sind noch butterweich 24 3.2. Die Revision des Fernmeldegesetzes 27 3.3. Das neue Postverkehrsgesetz 28 3.4. Rechtsgrundlage für das Bereitstellen von Mitarbeiter-Daten durch die Bundesverwaltung im Abrufverfahren 29 3.5. Meldung von Postfachadressen an städtische Einwohnerkontrolle durch die PTT 29 3.6. Elektronische Post und Verzeichnisdienste 30
Personalwesen 31 Q vhir rvpu 31 4.1. Führen von Listen mit privaten Adressen der Mitarbeiter 31 4.2. Überprüfung akademischer Titel durch den Arbeitgeber 31 4.3. Bekanntgabe von Lohndaten an ausländische Steuerbehörden 32 4.4. Auskunftsrecht der Arbeitnehmer - Recht auf Herausgabe grapho- logischer Gutachten 32 4.5. Überwachung von Arbeitnehmern - Gerät zur elektronischen Zähler- standserfassung 33 7qrr hyt 34 4.6. Ersatz von PERIBU durch BVPLUS und Blockierung der Projekte für eine dezentralisierte Bearbeitung von Personaldaten* 34 4.7. Umfang der Verpflichtung eines Mitarbeiters des Bundes, zwecks Aufnahme in eine Pensionskasse Angaben über seinen Gesundheits- zustand zu machen* 35
Tätigkeitsbericht 1995/1996 des EDSB 6
: Originalversion auf Französisch 4.8. Begriff der ausschliesslich zum persönlichen Gebrauch bestimmten Daten 36 4.9. Frageblatt zum ärztlichen Zeugnis für die Bewerber um eine Stelle* 36 4.10. Verzeichnen von Abwesenheitsgründen im Wochenprogramm 37 4.11. Pflicht der Angestellten des Auskunftsdienstes 111 der Telecom-PTT, ihren Vornamen zu nennen 38 4.12. Empfehlungen des Eidgenössischen Personalamtes zur Anwendung von Einzel- und Gruppen-Testverfahren 38 5. Versicherungswesen 39 Tvhyr vpur tr 39 5.1. Systematische Bekanntgabe der Diagnose an die Krankenkassen* 39 5.2. Analysen- und Tarifliste* 41 5.3. Umfang der Verpflichtung der Ärzte zur Zusammenarbeit mit den Unfallversicherungen* 41 Q vhr vpur tr 42 5.4. Merkblatt und Einwilligungsklausel* 42 5.5. Automobil-Versicherung* 43 6. Gesundheitswesen 44 6.1. Die Expertenkommission für das Berufsgeheimnis in der medizinischen Forschung 44 6.2. Die Anwendbarkeit des DSGs auf kantonale Krankenhäuser 45 6.3. Das Auskunfts- und Einsichtsrecht der Patienten 46 6.4. Bekanntgabe-, Speicher- und Benutzerkontrolle im medizinischen Bereich 47 6.5. Arztgeheimnis bei der Evaluation der Arbeitsbelastung Kranken- und Pflegeheime im Kanton Waadt 48 6.6. Die Sondervorschrift betreffend das Auskunftsrecht bei Gesundheitsdaten - Interpretation 49 6.7. Aushändigung eines ärztlichen Zeugnisses an die Erben des Verstorbenen 50 6.8. Die Entwicklung des Systems MediData 51 7. Kreditwesen 51 7.1. Die Datenbearbeitung bei Kreditkartenanträgen 51 7.2. Auskunftserteilung bei abgelehnten Kreditkartenanträgen 53 7.3. Schutzlose Gläubiger wegen Datenschutz? 54 8. Direktmarketing 54 8.1. Allgemeine Problematik 54 8.2. Weitergabe von Sternchen in privaten Abonnentenverzeichnissen 55 9. Statistik 56 9.1. Volkszählung 2000 56 9.2. Der Aufbau von gesamtschweizerischen Datenbearbeitungssystemen 57 9.3. Kriterien für die Anonymisierung von Personendaten ? 59 10. Mietrecht 59 Anmeldeformulare für Mietwohnungen 59 II. DIE KONTROLLEN DES EDSB 60
Die neue Identitätskarte ID 95* 60
Das Informationssystem des Schweizerischen Instituts für Berufspädagogik 61
Datensammlung über Journalisten in Zermatt* 61
Tätigkeitsbericht 1995/1996 des EDSB 7
: Originalversion auf Französisch 4. Videoüberwachung an Grenzposten 62 5. Auskunftsdienst 111 der Telecom-PTT Genf 63 III. WEITERE THEMEN 64
Datenschutzrechtliche Rahmenbedingungen 64 1.1. Umsetzung von Anforderungen des DSG bei der Gesetzgebung 64 1.2. Der Entwurf zu einem Bundesgesetz über Waffen, Waffenzubehör und Munition* 65 1.3. Vorentwurf für ein Bundesgesetz über die medizinisch unterstützte Fortpflanzung und eine nationale Ethikkommission - Vernehmlassung bei den betroffenen Kreisen* 66
Bekanntgabe von Personendaten 67 2.1. Die Bekanntgabe von Personendaten an Dritte im Sinne von Art. 11 Abs. 3 DSG 67 2.2. Bekanntgabe von Daten über ausländische Stipendienbezüger* 68 2.3. Amtshilfe durch die Bekanntgabe von Listen in den Bereichen Subventions-, Steuer- und Umweltschutzrecht 68
Datenübermittlungen ins Ausland 69 Grenzüberschreitende Datenübermittlungen innerhalb multinationaler Unternehmen und Anmeldepflicht 69
Datenschutz und Datensicherheit 71 4.1. Datenschutzanforderungen an die Büroautomation 71 4.2. Online-Registrierung von Software 72 4.3. Die Verantwortlichkeit des Auftraggebers und der Servicefirma bei Serviceleistungen im EDV-Bereich 73 4.4. Datensicherheitsaspekte bei der Planung von EDV-Projekten 74
Nachrichtendienst 76 Pflicht des militärischen Nachrichtendienstes zur Anmeldung seiner Datensammlungen 76
Steuern 76 Datenschutzklauseln in Steuererlassen - Mehrwertsteuergesetz und Militärpflichtersatzverordnung 76
Banken 77 Pflicht zur Offenlegung von Bankverbindungen für Anlage- und Handelsgeschäfte durch Bankangestellte 77
Videoüberwachung 78 Videoüberwachung bei Kehrichtsammelstelle 78
Verschiedenes 79 9.1. Das Handelsregister als elektronische Datenbank 79 9.2. Reiseteilnehmerlisten bei Gruppenreisen 80 9.3. Das Antragsformular für die Miete eines Fahrzeuges 80 9.4. Akteneinsichtsgesuch des Historischen Lexikons der Schweiz beim Schweizerischen Bundesarchiv bezüglich Chefbeamte 81 9.5. Aufnahme von wissenschaftlichen Interviews 81 9.6. Adoptionen und Aufenthaltsnachforschungen 82 9.7. Arbeitsgruppe der Kantone* 83 IV. INTERNATIONALES* 83
Tätigkeitsbericht 1995/1996 des EDSB 8
*: Originalversion auf Französisch
Internationale Konferenz der Beauftragten für den Datenschutz 83
Europarat 84
Europäische Union 86 V. REGISTER DER DATENSAMMLUNGEN 87
Bilanz* 87
DATAREG - Verwaltungssystem 87 VI. DER EIDGENÖSSISCHE DATENSCHUTZBEAUFTRAGTE 88
Auslagerung des Sitzes des EDSB vom Zentrum der Stadt Bern nach Zollikofen 88
Aufgabenentwicklung 88
Information der Öffentlichkeit Telefondienst 89
Zweite schweizerische Konferenz der Datenschutzbe- auftragten 1995 89
Statistik über die Tätigkeit des Eidgenössischen Daten- schutzbeauftragten 90
Das Sekretariat des Eidgenössischen Datenschutzbeauftragten 96 VII. ANHANG 97 Empehlungen des Europarates Nr. R (95) 4 zum Schutz personenbezogener Daten im Bereich der Fernmeldedienste, namentlich im Hinblick auf die Telefondienste 97 Mustervertrag für die Sicherstellung eines gleichwertigen Datenschutzes im Rahmen des grenzüberschreitenden Datenverkehrs 106
Tätigkeitsbericht 1995/1996 des EDSB 9
67F5SaVIBTW@Sa@D8CIDT
ADAK Arbeitsgruppe Datenschutz und Analysenliste / Krankenversicherung ADMAS Register der Administrativmassnahmen AFIS Automatisiertes Fingerabdruck-Identifizierungssystem AHV Alters- und Hinterlassenenversicherung AUPER Automatisiertes Personenregistratursystem BAP Bundesamt für Polizeiwesen BFF Bundesamt für Flüchtlinge BVPLUS Personalinformationssystem der Bundesverwaltung (neu) DOSIS Provisorisches Datenverarbeitungssystem zur Bekämpfung des ille- galen Drogenhandels (Pilot) DSG Datenschutzgesetz EDSB Eidgenössischer Datenschutzbeauftragter EDSK Eidgenössische Datenschutzkommission EDV Elektronische Datenverarbeitung EJPD Eidg. Justiz- und Polizeidepartement EVK Eidgenössische Versicherungskasse FABER Fahrberechtigungsregister FMH (Foederatio Medicorum Helveticorum) Verbindung der Schweizer Ärzte MOFIS Motorfahrzeug-Informationssystem OECD Organisation für Zusammenarbeit und Entwicklung OR Obligationenrecht PERIBU Personalinformationssystem der Bundesverwaltung PIAS Personalinformations- und administrationssystem des EJPD PISEDI Personalinformationssystem des EDI REGI Papierlose Personen- und Dossierverwaltung RIPOL Automatisiertes Fahndungssystem VDSG Verordnung zum Bundesgesetz über den Datenschutz VPB Verwaltungsplaxis der Bundesbehörden ZAN Zentraler Aktennachweis des Schweizerischen Zentralpolizeibüros ZAR Zentrales Ausländerregister
D 6VTB@XCGU@UC@H@I
Qyvrvrr
1.1. Organisiertes Verbrechen - Das System DOSIS
9PTDTvrv9hrir h irvtr 7rxstqrr yhir7r itvryr xru 6yQvy wrxxvvr v qrqr ar hyryyrsA qvr 7rxstqrr yhir7ritvryr xru qr7qrhsA Qyvrv rrr hyr9vrAxv9PTDTirruvirqr rqh vqvrah rh irvvqr7ritvryirxstqvrrqr xhhyrQyvrv x Air rvrPyvrWr ivqtvpur ryyr9vrhshpuFhrirpu xr rr rWr puuhr qrq purvrrvyvpuirs vrrWr qtqr7qr hrtr rtryHvqrDx hs rrqr7qrtrrrAir x vvhyyvrvyvpur ar hyryyrqr7qrh $H (($ qrqhTr9PTDThsrvrrr rpuyvpurB qyhtrtrryyvirqr rhqvr7rh irvtQr rqhr hiryht9h7qrhsA Qyvrvrruhv6puyqh hrvr@ ssA rvrrr9PTDTWr qthtrh irvrq 7rthput tryrt
Indem der Bundesrat dem Vorschlag des Eidgenössischen Justiz- und Polizeide- partements zustimmte, unterstützte er die Einleitung der externen Versuchsphase für das Datenberarbeitungssystem zur Bekämpfung des unerlaubten Betäubungsmittel- verkehrs DOSIS. Dieses Informatiksystem, das als Pilotversuch konzipiert wurde und auf einer zeitlich befristeten Verordnung beruht, wird von der Zentralstelle für die Be- kämpfung des unerlaubten Betäubungsmittelverkehrs des Bundesamtes für Polizei- wesen verwaltet. Der Zweck von DOSIS besteht in erster Linie darin, über eine Onli- ne-Verbindung die Zusammenarbeit mit den Betäubungsmittelbekämpfungsstellen der kantonalen Polizeikorps sicherzustellen.
Die zeitlich befristete Verordnung wurde vom Bundesamt für Polizeiwesen in Zu- sammenarbeit mit unserem Dienst ausgearbeitet. Sie beschränkt die externe Ver- suchsphase auf acht Kantone und legt insbesondere die mit dem Informatiksystem DOSIS verbundenen Zielsetzungen fest. Im weiteren legt sie die Untersysteme, die zu bearbeitenden Daten, die Kategorien der Benutzer des Systems und deren Zugriffsrechte fest. Geregelt werden auch die Datenbearbeitung, insbesondere die Datenerfassung und die Kontrolle ihrer Qualität, die Weitergabe der Daten, die Dau- er ihrer Aufbewahrung, die Löschung und die Sicherheitsmassnahmen.
Parallel zu dieser externen Versuchsphase für das System DOSIS trat am 15. März 1995 das Bundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes in Kraft. Dieses Gesetz regelt in erster Linie die Aufgaben der Zentralstellen des Bundesam- tes für Polizeiwesen bei der Bekämpfung des organisierten Verbrechens. Es regelt den Einsatz von Polizeiverbindungsleuten im Ausland, die Zusammenarbeit mit den Strafverfolgungsbehörden und Polizeidienststellen der Kantone und des Auslandes sowie die Datenbearbeitung und den nationalen und internationalen Austausch kri- minalpolizeilicher Informationen. Das Gesetz umschreibt ausserdem die Aufgaben der Zentralstelle für die Bekämpfung des organisierten Verbrechens und der Zentral- stelle für die Bekämpfung des unerlaubten Betäubungsmittelverkehrs.
Mit dem Inkrafttreten des Bundesgesetzes über kriminalpolizeiliche Zentralstellen des Bundes wurde das System DOSIS auf eine neue rechtliche Grundlage gestellt, insbesondere was die Bearbeitung von Personendaten anbelangt. Dies machte eine
Anpassung der zeitlich befristeten Verordnung erforderlich.
Eine erste Teilrevision der Verordnung wurde bereits am 15. März 1995 vorge- nommen, um darin einen Hinweis auf die Bestimmungen über die Ausübung des Auskunftsrechts im Bundesgesetz über kriminalpolizeiliche Zentralstellen zu veran- kern. Trotz unserer Vorbehalte (vgl. unseren 2. Tätigkeitsbericht, S. 10 ff.) wurde abweichend von den Bestimmungen des Bundesgesetzes über den Datenschutz eine Sonderregelung verabschiedet, die für das System DOSIS ein indirektes Aus- kunftsrecht vorsieht.
In der Folge wurde vom Bundesamt für Polizeiwesen ein Entwurf für eine voll- ständige Revision der DOSIS-Verordnung ausgearbeitet, um das definitive Da- tenbearbeitungssystem zur Bekämpfung des unerlaubten Betäubungsmittelverkehrs festzulegen. Das Bundesamt für Polizeiwesen zog dabei Nutzen aus den Erfahrun- gen während der externen Versuchsphase für das System DOSIS und aus den Be- stimmungen im Bundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes für die Bearbeitung von Personendaten. Um eine Stellungnahme gebeten, haben wir den Entwurf aus datenschutzrechtlicher Sicht geprüft, wobei wir uns auf die uns zur Verfügung gestellten Informationen und Unterlagen, die Ergebnisse von Arbeitssit- zungen und die Systemvorführungen abstützten. Wir haben uns ausserdem dafür eingesetzt, dass einerseits die vorgeschlagenen Bestimmungen den rechtlichen Rahmen des Bundesgesetzes über kriminalpolizeiliche Zentralstellen respektieren und andererseits die zahlreichen Datenbearbeitungen, die bei der Benutzung des Systems DOSIS ausgeführt werden, klar umschrieben sind.
Verschiedenen Punkten des Verordnungsentwurfs konnten wir zustimmen. Dies gilt insbesondere für die Bestimmung über die Online-Anschlüsse der Betäu- bungsmittelbekämpfungsstellen der kantonalen Polizeikorps und der Mitarbeiter der Zentralstelle für die Bekämpfung des unerlaubten Betäubungsmittelverkehrs. Bei einigen Punkten des Verordnungsentwurfs haben wir jedoch auch Vorbehalte ange- bracht, wobei wir jedesmal gleichzeitig konkrete Lösungsvorschläge formulierten. Diese Punkte betreffen insbesondere die Erarbeitung von Sonderbewertungen und die Erstellung von grafischen Darstellungen sowie die Möglichkeit, Elemente für den Vergleich mit Drittpersonen hervorzuheben. Vorbehalte wurden auch angebracht in bezug auf das Abfrageverfahren für die Unterfelder des Systems, die Übertragung von gewissen DOSIS-Daten in den zentralen Aktennachweis (ZAN) des Bundesam- tes für Polizeiwesen sowie bezüglich der Dauer der Datenaufbewahrung und ihrer Löschung.
Ausserdem ist auf eine Uneinigkeit hinzuweisen, die auf der Auslegung einer Be- stimmung des Bundesgesetzes über kriminalpolizeiliche Zentralstellen des Bundes beruht. In diesem Gesetz ist ausdrücklich festgehalten, dass innerhalb des Datenbe- arbeitungssystems die Verwendung der erhobenen Daten vor der Eröffnung eines Strafverfolgungsverfahrens getrennt von der Verwendung der Strafverfahrensdaten des Bundes und der Kantone ablaufen muss. Die Umsetzung dieser Bestimmung im Verordnungsentwurf wird gegenwärtig unter Mithilfe des Bundesamtes für Justiz noch geprüft.
Schliesslich haben wir Erläuterungen zur Abwicklung der externen Versuchsphase für das System DOSIS verlangt. Wir mussten nämlich feststellen, dass wir über die Erteilung von on-line-Anschlüssen an gewisse kantonale Polizeidienststellen, die in der zeitlich befristeten Verordnung nicht erwähnt sind und deshalb an diesem Pilot-
versuch nicht teilnehmen dürfen, weder informiert noch um Stellungnahme gebeten wurden. Wir haben auch darauf hingewiesen, dass der Vorschlag an den Bundesrat für die Verabschiedung der neuen Verordnung in jenem Teil, welcher der Abwicklung der externen Versuchsphase gewidmet war, keinen Hinweis auf diese Anschlüsse enthielt. Wir bedauern, dass wir nicht angefragt wurden, und verlangen, dass der dem Bundesrat unterbreitete Vorschlag sowie der Schlussbericht über den Pilotver- such DOSIS dementsprechend ergänzt werden.
1.2. Geldwäscherei - Entwurf eines Bundesgesetzes
6st qqr @ trivrqrWr ruyhtr shu rtyr r!Uvtxrv ir vpuT %ssuhqr 7qr hirpuyrqhqr W r sqr7qrtr rr 7rxstqr Bryqpur rvvAvhrx yyqvtAir h irvr r qrXv uhirqvrr@purvqirt Aqhqr W r s qr huy rvpur trrurr9hrirh irvtrxrvrrvvtr9hrpuirvt ruvryAA qrrrBrrrr suhqvr@vqtrvpurAvhr hyt 7rvtrAir qvr9hrirh irvtr sh7rvqr Q Astqvrr vr r W puytruhirv qh hsuvtrvrrqhvirthsqvr9hrirh irvtr q puqvrar hyryyrsA qvr7rxstqr thvvr rWr i rpurirvWyy tqvrrBrrrputrhr r7rvtrhstrryyr qrAr
In unserem 2. Tätigkeitsbericht (S. 16 ff.) haben wir betont, dass wir die Eidge- nössische Finanzverwaltung anlässlich des Vernehmlassungsverfahrens zum Vor- entwurf des Bundesgesetzes zur Bekämpfung der Geldwäscherei im Finanzsektor darauf hingewiesen haben, dass die Anwendung dieses Gesetzes für verschiedene betroffene Stellen erhebliche Datenbearbeitungen mit sich bringen werde. Dennoch wurden Datenschutzfragen im Verlauf der Arbeiten am Entwurf von der departe- mentsübergreifenden Arbeitsgruppe nicht erörtert. Angesichts der noch bestehenden Unsicherheiten und offenen Optionen wurden in den Erläuterungen zum Vorentwurf in bezug auf den Datenschutz keine Überlegungen angestellt, und in den Vorentwurf keine datenschutzspezifischen Bestimmungen aufgenommen.
Nach der Veröffentlichung der Ergebnisse des Vernehmlassungsverfahrens ent- schied der Bundesrat, dass der Vorentwurf vollständig überarbeitet werden müsse.
Im Juli 1995 hat uns die Eidgenössische Finanzverwaltung einen neuen Geset- zesentwurf zur Stellungnahme unterbreitet, der sich noch im Stadium der internen Ausarbeitung befand. Nachdem wir festgestellt hatten, dass wiederum keine Daten- schutzbestimmungen in diesen Entwurf aufgenommen worden waren, wiederholten wir unsere Vorschläge und Bemerkungen, die wir zum Teil noch ergänzten. Da im Entwurf keine Bestimmungen über die Art der Datenübertragung enthalten waren, haben wir erneut darauf hingewiesen, dass ein allfälliger Austausch von Daten zwi- schen der Zentralstelle, dem Kontrollorgan und den kantonalen Behörden mit Hilfe eines Abrufverfahrens (on-line-Verbindungen) auf Gesetzesebene ausdrücklich vor- gesehen werden muss. Da der Entwurf auf das neue Bundesgesetz über kriminalpo- lizeiliche Zentralstellen des Bundes verweist, das am 15. März 1995 in Kraft getreten ist, haben wir ausserdem darauf hingewiesen, dass den darin enthaltenen speziellen Bestimmungen über die Bearbeitung von Personendaten besondere Beachtung ge- schenkt werden muss. Dies gilt insbesondere für jene Normen, die in das Bundesge- setz zur Bekämpfung der Geldwäscherei integriert werden müssen, und für jene Normen, die in einer Verordnung enthalten sein können.
Im Oktober 1995 wurde uns eine neue Version des Gesetzesentwurfs vorgelegt, in die Bestimmungen über die Bearbeitung von Personendaten aufgenommen worden waren. Diese Bestimmungen, die in einem besonderen Abschnitt des Gesetzes zu- sammengefasst wurden, sind in Form von Vorschlägen von der Eidgenössischen Finanzverwaltung ausgearbeitet und im Anschluss daran unter Mitarbeit unseres Dienstes überarbeitet worden. In unserer Stellungnahme vom Dezember 1995 ha- ben wir bestätigt, dass die Bestimmungen im “Abschnitt 6: Bearbeitung von Perso- nendaten” eine gute Grundlage für die Regelung der umfangreichen Bearbeitung von Daten bilden, die aus der Anwendung dieses Gesetzes für die verschiedenen betrof- fenen Stellen resultieren wird. Wir denken dabei insbesondere an die Beschaffung, die Erfassung in verschiedenen Registern, die Aufbewahrung, die Bekanntgabe und an den Austausch von Personendaten sowie an die Einschränkungen in bezug auf die Ausübung des Auskunftsrechts.
Wir haben jedoch ebenfalls darauf hingewiesen, dass sowohl auf Gesetzes- als auch auf Verordnungsebene noch gewisse Präzisierungen vorgenommen werden müs- sen. Sodann besteht die bedeutendste Lücke in diesem Gesetzesentwurf unserer Ansicht nach darin, dass in bezug auf die Datenbearbeitungen, die durch die “Mel- destelle” vorgenommen werden, noch zahlreiche Unklarheiten bestehen. Im Geset- zesentwurf wird diese Aufgabe der Zentralstelle für die Bekämpfung des organisier- ten Verbrechens des Bundesamtes für Polizeiwesen übertragen und somit auf das Bundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes verwiesen. Im Botschaftsentwurf wird im übrigen darauf hingewiesen, dass die Modalitäten der Verwaltung des künftigen Datenbearbeitungssystems zur Bekämpfung der Geldwä- scherei des Bundesamtes für Polizeiwesen noch nicht genau festgelegt sind. Wir haben daher verlangt, dass in der Botschaft präzisiert wird, wie dieses Amt die In- formationen zu bearbeiten hat, die ihm im Rahmen der Anwendung des Bundesge- setzes zur Bekämpfung der Geldwäscherei im Finanzsektor mitgeteilt werden. Diese Präzisierungen sind entscheidend im Hinblick darauf, welche Normen noch in dieses Gesetz zu integrieren sind und welche auf Verordnungsebene ausgearbeitet werden können.
Beim gegenwärtigen Stand des Entwurfs haben wir in Übereinstimmung mit der Eid- genössischen Finanzverwaltung keine weiteren Bemerkungen angebracht, da wir diese Bestimmungen als einen ersten Wurf betrachten, der das Ergebnis der Zu- sammenarbeit zwischen unseren Diensten darstellt. Wir werden den gesamten Ent- wurf anlässlich des Vernehmlassungsverfahrens prüfen, das im Laufe des Jahres 1996 eingeleitet wird. Wir werden dann Gelegenheit haben, definitiv Stellung zu be- ziehen, insbesondere in bezug auf die Datenbearbeitungen durch die Zentralstelle für die Bekämpfung des organisierten Verbrechens im Rahmen der Anwendung die- ses Gesetzes, sowie bezüglich der sich daraus ergebenden rechtlichen Folgen.
1.3. Innere Sicherheit - Debatten in den Eidgenössischen Räten
Ihpuqrqr @ sqr7qrtrrrAir Hhhur Xhu tqr vr rTvpur urvh "Ev (($Tqr hiruhqry qrh qrr hqvr FvvsA Srpus htrqrIhvhy hAir vrr9vrr Brrrr s ruyhqhrpu rpuyvpur Tvpuhuy rvpur iyrhvpur6rxrXv uh irvirqr rqr7rvtrirAtyvpuqr 6Aitqr6xs rpuq rvryyrDs hvirpuhsstvCvysrrpuvpur5ir hputtr rx vvputrr
Der Entwurf eines Bundesgesetzes über Massnahmen zur Wahrung der inneren Si- cherheit, der vom Bundesrat im März 1994 ausgearbeitet wurde, wird gegenwärtig in den Eidgenössischen Räten beraten. Als uns der Vorentwurf des Gesetzes zur Stel- lungnahme unterbreitet worden war, hatten wir eine Reihe von Vorbehalten und Vor- schlägen angebracht. Anlässlich der Beratungen in der Kommission für Rechtsfra- gen des Ständerats hatten wir Gelegenheit, uns insbesondere zur Bestimmung be- züglich der Ausübung des Auskunftsrechts durch die betroffenen Personen zu äus- sern.
In seiner Plenarsitzung vom 13. Juni 1995 entschied der Ständerat trotz unserer Vorbehalte, dem Vorschlag seiner Kommission zu folgen und in den Gesetzes- entwurf eine Bestimmung über das Auskunftsrecht aufzunehmen, die gleichlautet, wie die Bestimmung im Bundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes, das am 15. März 1995 in Kraft getreten ist. In der gleichen Sitzung be- schloss der Ständerat ausserdem einen neuen Artikel über die Beschaffung von speziellen Informationen. Diese Norm soll bei Präventivermittlungen im Polizeibe- reich die Überwachung des Briefverkehrs und die Abhörung von Telefongesprächen sowie den Einsatz von technischen Überwachungsgeräten ermöglichen.
Anlässlich einer Anhörung durch die Kommission für Rechtsfragen des Nationalrates im Oktober 1995, zeigten wir die Gefahren auf, die mit der Einführung einer solchen Bestimmung verbunden sind. Die Einsatzbedingungen dieser Bestimmung, welche viel weniger restriktiv sind, als diejenigen des Strafverfahrens sowie die Anwendung dieser Bestimmung bei Präventivermittlungen im Polizeibereich haben wir als kritisch eingestuft. Im Januar 1996 entschied die Kommission, dem Vorschlag des Stände- rats nicht zu folgen und die entsprechende Norm zu streichen. Ausserdem hatte die Kommission schon im November 1995 beschlossen, auch den Begriff des organi- sierten Verbrechens zu streichen, da sie der Auffassung war, dass diese Aufgabe nicht im Zusammenhang mit der inneren Sicherheit steht.
Angesichts der zahlreichen Aspekte dieses Gesetzesentwurfs, die mit dem Da- tenschutz im Zusammenhang stehen, wurden wir gebeten, an der Sitzung der Kom- mission für Rechtsfragen des Nationalrates teilzunehmen, die im Februar 1996 statt- fand. Der Entwurf wird anschliessend im Nationalrat behandelt.
1.4. Das automatische Fingerabdruck-Identifizierungssystem AFIS
6st qqr @vpxytv7r rvpurqr Qr rvqrvsvxhvuhvpurvrIr x vr tqr TrxvDqrvsvxhvqr7AAqqr Trxv@ xrtqvr qr76Qhyhrvpuyvpur vrrHvqrrrFr6ADTTr vpryyrvr rvvtr6yhsryyrsA hyyr6ADT9vryrvtrtrpuhssr qr6ADTTr vpryy virqr rqvr6sthirqr Avtr hiq pxvqrvsvvr tqqr 7rxhthir F r hyvrhu rur6rvsvpurFrrrqaqvtxrvr 76Qq7AAyyrrvr uvtr rhu trrr qr
Das System AFIS verfolgt den Zweck der Personenidentifikation anhand von Finger- abdrücken. Es stellt eine gemeinsame Fingerabdruckdatenbank für die Bereiche Po- lizei und Asyl dar. AFIS wirft die Frage nach seiner Konformität mit dem zentralen datenschutzrechtlichen Gebot der Zweckgebundenheit auf. Anlässlich der ersten Realisierungsetappe wurde unsererseits das Projekt AFIS-Service im Lichte des ge- nannten Gebotes geprüft. Dabei hielten wir fest, dass bei der Projektrealisierung und
in den vorgesehenen Gesetzesänderungen auf die Trennung von Asyl- und Polizei- daten zu achten ist, sowohl in struktureller Hinsicht als auch bezüglich Zugriffsbe- rechtigungen von BAP und BFF. Insbesondere wurde die Notwendigkeit einer Inte- ressenabwägung vor der Bekanntgabe von Flüchtlingsdaten in den Polizeibereich betont. So dürfen Kurzpersonalien von Flüchtlingen in den Polizeibereich nur bei Vorliegen eines genügenden polizeilichen Grundes bekanntgegeben werden. Eine auf diese Art erfolgte Identitätsbekanntgabe darf nur mit Zustimmung des BFF oder der mit Aufgaben nach dem Asylgesetz beauftragten Behörden ins Ausland weiter- gegeben werden. Diese Lösung trägt insbesondere dem asylrechtlichen Verbot der Bekanntgabe von Flüchtlingsdaten ins Ausland Rechnung. Sie gilt auch für das Sys- tem Rapid Response AFIS. Eine umfangreichere Datenbekanntgabe kann nur amts- hilfeweise und nach gründlicher Interessenabwägung erfolgen.
Zur Diskussion stand auch die Möglichkeit der Ausdehnung des Systems Rapid Response AFIS (RRA) auf andere Kantone. RRA ist ein dem Kanton Zürich auf- grund der dortigen besonderen Drogensituation zur Verfügung stehendes Fingerab- druck-Identifizierungssystem. Es charakterisiert sich durch elektronische, innert kur- zer Zeit erfolgende Bekanntgabe der Kurzpersonalien und des Datenbesitzers. An- sonsten unterscheidet es sich vom üblichen System AFIS kaum. Insbesondere un- tersteht es den gleichen datenschutzrechtlichen Regeln. RRA stellt als solches das Modell für das Projekt AFIS-Service dar. Den Einbezug weiterer Kantone ins System RRA machten wir von der Schaffung einer Rechtsgrundlage auf Ebene Bundesratsverordnung abhängig.
1.5. Vollautomatisiertes Strafregister
9hQ wrxyyhhvvr rT hs rtvr WPTUS6v qvr puvrqrrSrhyvvr trvurvrhstrrvyqu rqqr Qr vqr ((% (('pu vrvrrvpxry 9vrTpuhsstrvr s ryytrryvpurB qyhtrvs AurrsA 6sht (('tr yh@vr5ir thtr qthytrryvpurB qyhtrsA qvrarvhr ((% (('vhqhrpu rpuyvpurB Aqrvputyvpu
Das Projekt vollautomatisiertes Strafregister VOSTRA automatisiert die Verwaltung der Urteils- bzw. Strafregisterauszüge im Bundesamt für Polizeiwesen. Es stellt den Datenaustausch mit anderen Amtsstellen von Bund und Kantonen von Papier auf elektronische Medien um. In der ersten Realisierungsetappe geht es hauptsächlich darum, den Strafregisterauszug einer Person ohne Angabe der Strafen durch Abruf- verfahren (on-line) bekanntzugeben. Die zweite Etappe sieht die on-line- Bekanntgabe des Strafregisterauszuges mitsamt Strafen vor. Die schrittweise Reali- sierung der genannten Etappen findet grösstenteils vor 1998 statt, während die Re- gelung im Strafgesetzbuch erst für 1998 vorgesehen ist. Die Realisierung des Sys- tems gestützt auf eine Übergangsverordnung ist aufgrund des datenschutzrechtli- chen Erfordernisses einer formellgesetzlichen Grundlage nicht möglich. Deshalb muss für die Bearbeitung von Strafregisterdaten und deren Bekanntgabe durch Ab- rufverfahren die erforderliche Rechtsgrundlage geschaffen werden.
1.6. Revision des Strassenverkehrsgesetzes
@vrSrvurh yhrh vpurW ruh Irqvtxrvrvr Srvv qrT hrr xru trrrtrsAu Vr rhyyvpuqr r xyhv
tri hpurqhrpu rpuyvpur6yvrtrir rssruhpuyvpuqvrSrtryt qvpurXv puytrhr qr hsqvrQiyvxhvqrWr rvpuvrqr Ahu rtuhyr r vpur@vrtyrvpuyhrqrA qr t qrvh yhrh vpur Dvvhvrtrryy
Im Bereich des Strassenverkehrs wird der Bund verschiedene automatisierte Daten- bearbeitungssysteme führen. Dabei handelt es sich einerseits um das Register der Administrativmassnahmen ADMAS, das Fahrberechtigungsregister FABER, das Fahrzeug- und Halterregister MOFIS, andererseits das Register über die Unfallstatis- tik. Diese Register enthalten zum Teil besonders schützenswerte Personendaten, weshalb bei einer Automatisierung der Bearbeitung hohe Anforderungen an die ge- setzlichen Grundlagen zu stellen sind. Anlässlich der Ämterkonsultation stellten wir eine ungenügende Regelungsdichte der entsprechenden Gesetzesgrundlagen fest. Diese müssen insbesondere den Zweck der Datenbearbeitung, die zur Bearbeitung ermächtigten Behörden und ihre Aufgaben, die Datenempfänger, die verwendeten Mittel, den Kreis der betroffenen Personen, die bearbeiteten Personendaten, die Da- tenweitergabe und den Schutz vor Missbräuchen mit hinreichender Bestimmtheit regeln.
Um das Risiko von Persönlichkeitsverletzungen zu entschärfen, schlugen wir im Rahmen der Ämterkonsultation ausserdem vor, auf die Publikation des Ver- zeichnisses der Fahrzeughalter zu verzichten. Dadurch soll insbesondere verhindert werden, dass Informationen über Fahrzeughalter in öffentliche Informationskanäle gelangen. Eine Initiative gleichen Inhaltes wurde auch parlamentarisch eingeleitet. Sie wird zur Zeit von der Kommission für Rechtsfragen des Nationalrates geprüft.
! 6yqr q6y rpu
2.1. Zugriff von Polizeistellen auf das Zentrale Ausländerregister ZAR
Drvr 7rpur qrhqvr@vqt9hrpuxvvuhirv qvrvr pu tryrQ iyrrirvat vssQyvrvryyrhsqha6Sqirvqr 7rh irv t6yqr qhrhqra6Svry7A hhvx vvvr @truqh qvrQyvrvt vssrhsrvvyyrHh rqvr rqqvr7A hh vrrvrvr9TBxs rTvpur urvh puvrx rvivqr
Erstens legten wir der EDSK die Frage vor, ob die beim Bundesamt für Polizeiwesen (BAP) verwendeten Mittel der Büroautomation eine sichere und vertrauliche Bearbei- tung der Ausländerdaten gewährleisten. Die dem BAP zugänglich gemachten Aus- länderdaten dürfen nicht mit den Fahndungsdaten des BAP zu neuen Datensätzen oder -sammlungen verbunden oder mit den Fahndungsdatensammlungen des BAP abgeglichen werden. Ebensowenig dürfen sie unbefugt an Dritte im In- und Ausland bekanntgegeben werden (vgl. hierzu auch den ersten und den zweiten Tätigkeitsbe- richt, S. 23f. und S. 20ff.). Nach unserer Auffassung bieten die bisher beim BAP verwendeten Sicherheitsmassnahmen keine ausreichende Gewähr dafür, dass Fehl- leistungen und Pannen mit hinreichender Sicherheit ausgeschlossen oder ihr Eintritt zumindest als unwahrscheinlich gewertet werden könnte. Die in der Verordnung vom 10. Juni 1991 über den Schutz der Informatiksysteme und -anwendungen in der Bundesverwaltung vorgeschriebene Risikobeurteilung, bei welcher die Sicherheits- spezialisten des Bundesamtes für Informatik beizuziehen wären, steht jedenfalls
noch aus. Ein blosses Bearbeitungsverbot haben wir vor dem Hintergrund der vor- handenen technischen Bearbeitungsmöglichkeiten als klar ungenügend beurteilt und verlangt, dass an den Anwendungen selbst Sicherheitsvorkehren getroffen werden, wie sie heute ohne weiteres möglich sind und auch zum internationalen Standard gehören.
Das zweite zentrale Problem betraf die Frage, ob und unter welchen Vorausset- zungen den verschiedenen z.T. mit Fahndungsaufgaben betrauten Dienststellen im BAP die zu zivilen Zwecken beschafften ZAR-Daten im Abrufverfahren zugänglich gemacht werden dürfen. Als erste unabdingbare Voraussetzung hiefür erachteten wir den ausreichenden Schutz dieser Daten, welcher indessen - wie vorstehend darge- legt - trotz wiederholten Mahnungen nicht oder ungenügend ausgewiesen wurde. Zweite unabdingbare Voraussetzung zur Einrichtung eines Abrufverfahrens ist, dass ein solches für die Aufgabenerfüllung im konkreten Fall wirklich erforderlich ist, und dass nicht andere, weniger einschneidende Formen der amtshilfeweisen Datenbe- kanntgabe ausreichen würden. Eine interne Abklärung beim BAP hat ergeben, dass nur wenige Dienststellen dieser Behörde die ihnen zur Verfügung stehenden Online- Zugriffe auf das ZAR häufig gebrauchen. Für einige Abfragen pro Tag oder pro Wo- che würden in den meisten Fällen einzelfallweise (EDV-gestützte) Datenübermittlun- gen genügen. Aus datenschutzrechtlicher Sicht müssen die nach dem "Selbstbedie- nungsprinzip" und ohne vorgängige Interessenabwägung erfolgenden Online-Daten- übermittlungen namentlich im heiklen Polizeibereich als einschneidend betrachtet werden. Sie sind wo immer möglich zu vermeiden. Dies ergibt sich aus dem Verhält- nismässigkeitsgrundsatz und - mit Blick auf eine allfällige informationelle Schlechter- stellung der Ausländer gegenüber den Schweizern - wohl auch aus dem Gleichbe- handlungsgebot. Mit ähnlichen Fragen beschäftigen sich auch Behörden und Gerich- te des Auslands, so etwa zur Zeit das deutsche Bundesverfassungsgericht.
2.2. Kleine Teilrevision der ZAR-Verordnung
Drvr xyrvrUrvy rvvqr a6SWr qt qrqrVhqSrputtr htrqhu rqrvr x r5ir thtrvwrrvyhpuqvrIhrqr Qsyrtr ryr hyqvpur Fvqr va6Sr shr qrAr 6r qrqA sr AyApuyvtqhrqvrqra6S6q px6rvrtrryqrr qrvpu va6Strrvpur r qr
Bei Bekanntwerden der Namen der Kinder sind die Namen der Pflegeltern zu lö- schen und spätestens einen Monat nach der Adoption auch die Namen der Kinder. Bei dieser Gelegenheit hat der Bundesrat auch festgehalten, dass die dem ZAR vom Bundesamt für Flüchtlinge zum Ausdruck von Ausweisen gemeldeten Qr rqh r h qr 6VQ@S vpu v a6Strrvpur r qrq srDamit ist uns der Bundesrat entgegengekommen. Das Zweckbindungsgebot würde einer auch nur teilweisen Zusammenlegung der Asylbewerberdaten mit den übrigen Ausländerda- ten klar entgegenstehen. Hinzu kommt, dass die hochsensiblen Asylbewerberdaten weitreichende Sicherheitsanforderungen an eine Datensammlung stellen, welche sich bei einer auch nur teilweisen Zusammenlegung mit einer anderen Datensamm- lung auf diese "vererben" würden. Wegen der verzweigten Struktur und der Grösse des ZAR würden sich daraus für diese Datensammlung weitere erhebliche Probleme ergeben.
2.3. Schweizer und Schweizerinnen im Zentralen Ausländerregister
Xv qr vhr Trvrhtrs htivar hyr6yqr rtvr a6Shs trsAu rTpurvr vrqTpurvr hpuAir qhAhuqtrSDQPGhi trs htr qrxr
Gemäss ZAR-Verordnung sind im ZAR schweizer Arbeitgeber und Arbeitgeberinnen (oftmals Firmen) ausländischer Arbeitnehmer und Arbeitnehmerinnen verzeichnet, ferner schweizer Gastgeberinnen und Gastgeber sowie während einer Übergangs- zeit von zwei Jahren neu in der Schweiz eingebürgerte Personen. Hinzu kommen, wie vorstehend dargelegt, die Pflegeeltern ausländischer Kinder. Von den Polizei- und Grenzbehörden sind über die RIPOL-Leitung im ZAR nur wenige Datenfelder abrufbar, welche mit dem Namen einer Ausländerin oder eines Ausländers verknüpft sein müssen. Darunter befinden sich freilich auch die Datenfelder "Arbeitgeber" und "Adresse" der Ausländerinnen und Ausländer. Der Zugriff auf schweizer "Gastgeber" steht demgegenüber nur dem Bundesamt für Ausländerfragen, dem Beschwerde- dienst des EJPD, den schweizer Auslandvertretungen und den Fremdenpoli- zeibehörden der Kantone offen, nicht jedoch der Polizei. Ebensowenig darf das Da- tenfeld "Pflegeeltern" über die RIPOL-Leitung aus dem ZAR abgerufen werden. Hier ist zudem geplant, die Zugriffe der zuständigen kantonalen Behörden (i.d.R. Frem- denpolizei) auf die im eigenen Kanton ansässigen Pflegeeltern zu beschränken, was aus datenschutzrechtlicher Sicht rasch erfolgen sollte. Eine weitere Verbesserung der Vertraulichkeit würde namentlich im sensitiven Bereich der Adoption zweifellos auch eine Chiffrierung bringen.
Somit können grundsätzlich nur die seit weniger als zwei Jahren in der Schweiz ein- gebürgerte Personen und die schweizer Arbeitgeberinnen und Arbeitgeber ausländi- scher Staatsangehöriger durch die Polizei bzw. über die RIPOL-Leitungen aus dem ZAR abgefragt werden. Unsere Abklärungen haben aber ergeben, dass die neu ein- gebürgerten Schweizerinnen und Schweizer zum Teil über die zulässige Dauer von zwei Jahren hinaus im ZAR verzeichnet waren. Die zuständigen Stellen im EJPD haben hierauf die vor mehr als zwei Jahren eingebürgerten Schweizerinnen und Schweizer im ZAR gelöscht. Weiter hat sich beim Datenfeld "Adresse" ergeben, dass zur Zeit im ZAR mit technischen Mitteln die Eingabe vonpurvr Bhtrir vr q Bhtrir hryyr qr hy#qvpur B#r nicht verhindert werden kann. Es lässt sich also nicht mit Bestimmtheit ausschliessen, dass unter Umständen auch schweizer Gastgeberinnen und Gastgeber von ausländischen Staatsangehöri- gen unter dem Datenfeld "Adresse" den Polizeibehörden über die RIPOL-Leitung bekanntgegeben werden können, obwohl dies gegen die ZAR-Verordnung verstos- sen würde. Offenbar besteht leider zur Zeit - anders als bei den neu eingebürgerten Personen - kein effizientes (elektronisches) Verfahren zur nachträglichen Kontrolle des ZAR auf derartige mögliche Fehleintragungen von Schweizerinnen und Schwei- zern im ZAR. Das Bundesamt für Ausländerfragen hat zwar in einem Rundschreiben die zuständigen kantonalen Behörden auf die Rechtslage hingewiesen und sie an ihre Sorgfaltspflichten erinnert. Wir sind jedoch der Meinung, dass in dieser Hinsicht beim ZAR unbedingt auch v xhrF yyr shu r eingerichtet werden müssen, wie dies die Datenschutzverordnung ausdrücklich in den Bestimmungen über das Bearbeitungsreglement vorschreibt. Im Rahmen des Erlasses eines Be- arbeitungsreglementes für das ZAR ist daher den Kontrollen die nötige Aufmerksam- keit zu schenken. Wir stehen in Kontakt mit dem Bundesamt für Ausländerfragen und behalten uns vor, allenfalls eine entsprechende Empfehlung zu erlassen.
2.4. Höchstzahl Tänzerinnen pro Betrieb
VHvi purirvqr 6ryythyqvpur Ur vrirr rtrtrv xrxr qrqrxhhyrA rqryvrviru qrvar hyr6y qr rtvr a6SrqvrAxvICpuhuyUr vr 7r vriI Wr sA tttrryy
Solange dabei keine Personendaten bekanntgegeben werden, ist hiefür keine An- passung der ZAR-Verordnung nötig. Wir haben der Aufnahme der erwähnten Funk- tion zugestimmt. Gleichzeitig haben wir darauf hingewiesen, dass eine Funktion zur Online-Abfrage von "Namenslisten sämtlicher Ausländer pro Betrieb" ohne Anpas- sung der ZAR-Verordnung unzulässig wäre. Zudem müssten technische Schutz- massnahmen ergriffen werden, falls sich eine generelle Einführung derart weitge- hender Datenbearbeitungen im Ausländerrecht nicht von vornherein als verfas- sungswidrig erwiese (vgl. zu dieser Frage den Bericht über unsere Beschwerde bei der EDSK, S. 16).
2.5. Suchabfragen im ZAR
DvryrAyyrrurqr7ru qrqvrhsqhar hyr6yqr rtvr a6S t rvsryyrtrhr6thirAir qvrhs srqrQr Wr sAttD sr r Ai vtvpurvrTpuhis htrva6S
Das ist etwa der Fall, wenn eine bestehende Aufenthaltsbewilligung verlängert wer- den muss und die Personenkennung anhand des Dossiers eingegeben werden kann. In anderen Fällen, wo der abfragenden Behörde kein Dossier vorliegt oder wo keine Ausweise vorgezeigt werden, muss mit den vorhandenen, nicht immer hinrei- chend genauen Angaben gearbeitet werden. Hiefür besteht im ZAR ein eigenes In- strumentarium, das aufgrund von Suchkriterien und programmgesteuerten Mehr- fachabfragen auf dem Bildschirm die Abfrage von Daten einer Auswahl von Perso- nen erlaubt, auf welche die Angaben möglicherweise zutreffen. Zu den aufgerufenen Personen können weitere Daten abgerufen werden, welche eine genauere Zuord- nung erlauben.
Bei einer Vorführung der Funktion haben wir festgestellt, dass die zur Verfügung stehenden Suchkriterien zum Teil ausserordentlich weit gefasst sind und deshalb die Abfrage einer zu grossen Auswahl von Personen bewirken. Wir haben daher erheb- liche Einschränkungen der Suchfunktionen verlangt, welche uns zugesichert wurden. Allgemein geht es darum, denjenigen Behörden, die nicht mittels eindeutigen Per- sonenkennungen auf ihren Dossiers das ZAR abfragen, möglichst präzise Suchkrite- rien zur Verfügung zu stellen. Dabei sind persönlichkeitsverletzende Suchkombinati- onen zu vermeiden, selbst wenn sie in einem bestimmten Fall möglicherweise ge- nauer sind als andere Kombinationen. Bei den ZAR-Abfragen der Polizei über RIPOL-Leitungen haben wir keine persönlichkeitsverletzenden Suchkombinationen festgestellt.
2.6. Provisorische Weisungen betreffend die Protokollierung im ZAR
Srvpur rvrHhhurvrvrirvr7rh irvthruht vpuhyvtrarpxrs rqtrvuv rvpurqr Tvpur urvh
puyvrrArqvr9hrirh irvtr xyyvr r qr
Dies entspricht international anerkannten Sicherheitsanforderungen und wird auch in Art. 10 VDSG vorgeschrieben. In Ausführung dieser Bestimmung erliess das EJPD am 2. November 1994 "Provisorische Weisungen über die Protokollierung über die Abfrage von Daten des Zentralen Ausländerregisters mittels eines Abrufverfahrens". Danach müssen die Bekanntgaben von Daten durch das ZAR mittels RIPOL- Abfragemaske protokolliert werden. Festgehalten werden dabei Amtsbezeichnung, Benutzer und Benutzer-Nummer, Datum und Zeit der Abfrage sowie die verwende- ten Suchbegriffe. Das Rechenzentrum des EJPD stellt ein Auswertungsprogramm für die Protokollierungsdatei zur Verfügung und speichert die Protokollierungsdaten während einem Jahr. Die Datenschutzberater des EJPD überprüfen die Protokolle periodisch und klären namentlich ab, ob die jeweiligen Abfragen zur Erfüllung einer gesetzlichen Aufgabe notwendig sind und ob die Daten von unbeteiligten Dritten wei- terverwendet werden. Sie erstatten dem Generalsekretariat jährlich Bericht.
Diese Weisungen sind aus datenschutzrechtlicher Sicht zu begrüssen. Sie sollten nunmehr rasch in ein Definitivum überführt werden. Dabei sollte die Gelegenheit zu den sich aus heutiger Sicht aufdrängenden Anpassungen genutzt werden. So fehlen etwa Vorschriften über den Mitarbeiterschutz, was die Akzeptanz der Weisungen herabsetzen dürfte. Auch sollten einige zusätzliche Auswertungskriterien eingefügt werden, um dem gesetzlichen Auftrag wirkungsvoller nachkommen zu können. Bei mehreren Vorf ührungen der Protokollierung im Rechenzentrum des EJPD hat sich zudem ergeben, dass die Auswertung mit den bis anhin zur Verfügung gestellten Mitteln zeitraubend und mühsam ist. Heute leicht erhältliche Standardlösungen und möglicherweise die in der Betriebssoftware selber bereits vorhandenen Ressourcen werden nicht oder zu wenig genutzt. Wir werden den zuständigen Stellen im EJPD konkrete Vorschläge unterbreiten.
2.7. Papierloses Personendossier-Verwaltungssystem REGI-2
7rvhvr yrQr rqvr Wr hytrS@BD!qr7A6 qr vpuvtr9hrpus qr trr sAyy9vr9xrrr qrtrrvpur qh vrvpuru r qr r qrxrWyyrpurvqvputyvpu9vr at vss rtrytr sythuhqhqh qvvr r Dqrrhpuqrrqvrrvryr 9xrrhpuhstrpur qrxr@ qrrv7rh irvt rtyrr r yhrByrvpuuyirrurpuru r r9hrpuQrqrrqvrtyvpu hpur yrqvtr qryyr
Auf unsere Empfehlung hin (vgl. 2. Tätigkeitsbericht S. 24 f.) hat das Bundesamt für Ausländerfragen für dieses neue EDV-System ein Bearbeitungsreglement und eine dazugehörende Dokumentation vorgelegt. Aus diesen Unterlagen ergibt sich im We- sentlichen, dass das REGI-2 zur papierlosen Archivierung der in diesem Amt bear- beiteten Personendossiers dient. Dabei werden die einzelnen Dokumente so gespei- chert, dass sie nicht mehr verändert und dass darin auch keine Volltext-Suchen durchgeführt werden können. Indessen werden die Dokumente mit einem Indexfeld versehen, welches nach einem vordefinierten Standard vergeben wird. Dieses Index- feld gestattet ein rasches Auffinden des interessierenden Dokuments und eine auf- gabenbezogene Zugriffsvergabe bzw. eine aufgabenbezogene Bekanntgabe mit e- lektronischen Mitteln an Dritte. Die Datenbearbeitungen werden protokolliert.
Mit der gewählten Lösung sind wichtige datenschutzrechtliche Anforderungen erfüllt worden. Gleichwohl verbleiben einige ungelöste Probleme. So ist unklar, wie, von wem und in welchem Verfahren die in der VDSG vorgeschriebenen periodischen amtsinternen Kontrollen durchzuführen sind. Ebenso wurde offenbar bisher keine Risikobeurteilung durchgeführt. Dies ist mit Blick auf die bearbeiteten besonders schützenswerten Daten und Persönlichkeitsprofile jedoch gesetzlich vorgeschrieben. Zu dieser Risikobeurteilung sind gemäss der Verordnung vom 10. Juni 1991 über den Schutz der Informatiksysteme und -anwendungen in der Bundesverwaltung die Informatik-Sicherheitsspezialisten der Bundesverwaltung beizuziehen. Weil die Er- gebnisse dieser Analyse auch für den Datenschutz bedeutsam sein können (Mass- nahmenkatalog), fehlen uns zur Zeit wichtige Elemente für eine gesamthafte Beurtei- lung. Wir haben uns deshalb vorerst nur zu formellen Fragen äussern können (Voll- ständigkeit des Bearbeitungsreglements und der gemäss VDSG verlangten Unterla- gen).
2.8. Automatisiertes Personenregistratursystem AUPER-2
Drvr 7rpur qrhqvr@9TFuhirv uyvpuvrirva6Sqvrvr pu tryrQ iyrrirvat vssQyvrvryyrhsqvr6yirr ir qhrv 6VQ@Sqirvqr 7rh irvt6yirr ir qhrvry7A hhvx vv vr @truqh qvrQyvrvt vssrhsrvvyyrHh rqvr rqqvr 7A hhvrrvrvr9TBxs rTvpur urvh puvrx rvivqr Vuhyih vqhurrvr puqvr6yirr ir qhrqr7qrhrsA AyApuyvtrqrryvpur9hrirqrqr7qrhrsA Qyvrvrrvrv qqr ryir9hrihxqr6VQ@Strrvpur r qrVhiutvtqvrr 7rpur qruhirv xyh trryyqhhpuirvqr 6yirr ir FsAu t q puqvrQUUrvrhir rU rthqr r9hrirh irvtrqrvrtr Tvpur tqr 6yirr ir qhrvtv
Auch bezüglich des AUPER-2 haben wir (wie beim ZAR, vgl. vorne S. 16) der EDSK die Frage des Einsatzes von Büroautomationsmitteln unter Wahrung der Vertraulich- keit der heiklen Asyldaten unterbreitet. Gegenüber dem Zentralen Ausländerregister ZAR stellen sich diese Fragen beim AUPER-2 akzentuiert. Einmal geht es bei der Gewährleistung einer vertraulichen Bearbeitung von Asyldaten auch um die Einhal- tung von völkerrechtlichen Verpflichtungen. Die in unserem Land um Asyl nachsu- chenden Personen sollen nicht durch Informationspannen weiteren Nachteilen aus- gesetzt werden. Solche Informationspannen können in einem vergleichsweise weit verzweigten System, wie es das AUPER darstellt, nicht ausgeschlossen werden, wenn nicht die erforderlichen Anstrengungen für eine in jeder Hinsicht kontrollierte und gesicherte Datenbearbeitung unternommen werden.
In verfahrensrechtlicher Hinsicht gilt es zudem, sogenannte Nachfluchtgründe zu vermeiden. Nachfluchtgründe können entstehen, wenn Informationen über eine Per- son bekanntgegeben werden, welche die Wahrscheinlichkeit ihrer Verfolgung im Heimatland erheblich vergrössern könnten. Müssen in einigen Fällen anderen als Asylbehörden Online-Zugriffe auf die Asyldaten gewährt werden, weil sich diese Zugriffe zur Aufgabenerfüllung als absolut notwendig erweisen, ist diesen Behörden die Weitergabe der erhaltenen Daten verboten und die Einhaltung dieses Verbots mit technischen Vorkehren zu gewährleisten. Zudem sind die Suchvorgänge auf ein sinnvolles Mass zu beschränken.
Datenbearbeitungen müssen als unverhältnismässig bezeichnet werden, wenn bei der gewählten Bearbeitungsmethode von vornherein in Kauf genommen wird, dass bei jeder Bearbeitung die Daten einer Vielzahl unbeteiligter Dritter "mitbearbeitet" werden, obwohl sich dies mit einem vertretbaren Aufwand vermeiden liesse. Die heute im AUPER-2 eingerichtete Suchfunktion für die Polizeistellen des Bundes (und wohl auch der Kantone) genügt den Anforderungen des DSG nicht.
In die gleiche Richtung zielte auch unser Vorbringen bei der EDSK, wonach die im AUPER-2 gespeicherten Asyldaten von den in der gleichen Datensammlung ge- speicherten Polizeidaten des Bundesamtes für Polizeiwesen (BAP) zu trennen sind, was leider immer noch nicht geschehen ist (vgl. 1. Tätigkeitsbericht S. 27 f. und 30 f und 2. Tätigkeitsbericht S. 24 ff.). Heute erhält unter Umständen ein Sachbearbeiter des BAP bei der Abfrage von Polizeidaten des BAP im AUPER ungewollt auch eine unbestimmte Anzahl von Asyldaten "mitgeliefert", was als absolut unhaltbar bezeich- net werden muss. Wir haben mit allem Nachdruck darauf hingewiesen, dass dieser bedauerliche Fehler im System, den wir schon früher kritisierten, nunmehr raschest- möglich behoben werden muss. Es bleibt zu hoffen, dass das hängige Verfahren vor der EDSK sowie die parallel dazu verlaufende Risikobeurteilung von Datenbearbei- tungen im BFF und im BAP, welche zur Zeit in Zusammenarbeit mit dem BFI und einer schweizerischen Universität erfolgt, diese datenschutzrechtliche Muss- Forderung einer Lösung zuführen wird. Dabei ist auch qh Srpurr qr @EQ9 rvirvrur, welches übergreifend die Voraussetzungen für eine daten- schutzrechtskonforme Lösung zu schaffen hat.
2.9. Konto für Sicherheitsleistungen der Asylbewerber ("Sicherheitskonto")
Br6yr qt!Ar6yirr ir rvrirvr6rvyvu r@ r irvxrvqr Tpurv Tvpur thyysyyvtr AA tryrvtrqr SApxsAu thhurvrvrFuvr yrtrqh arvqrpurv r vpurQUU7r vrirvahrh irvvqr7qrhsA AyApuyvtr 7AAtrsAu v q9hirvrrurhuy rvpur9hrsyArvpurqrirvqr 7qr thr
In einer Empfehlung haben wir verlangt, dass ein übergreifendes Sicherheitskonzept mit einem objektbezogenen Massnahmenkatalog für den Austausch und für die Be- arbeitung der sensiblen Asylbewerber-Daten bei den PTT sowie ein Bearbeitungs- reglement gemäss VDSG erstellt werden. Weiter haben wir in der Empfehlung ver- langt, dass die heiklen Asylbewerber-Daten chiffriert übermittelt und bei den PTT von den dort vorhandenen anderen Daten logisch und physisch getrennt bearbeitet wer- den. An einer gemeinsamen Sitzung mit allen beteiligten Stellen am 28. April 1995 wurde die Empfehlung angenommen. Danach unterbreiten die Informatik-Si- cherheitsspezialisten des BFI Vorschläge für die Chiffrierung und das BFF, die PTT und das BFI erarbeiten im Rahmen der beim BFF hängigen Risikobeurteilung und in Zusammenarbeit mit einer schweizerischen Universität einen objektbezogenen Massnahmenkatalog. BFF und PTT erlassen gestützt hierauf ein Bearbeitungsreg- lement.
2.10. Liegenschafts- und Fürsorgekostenabrechnungssystem LIFAS
Bei einer Besprechung des Vorprojekts für dieses neue EDV-System Ende 1994 hat- ten wir die verantwortlichen Stellen darauf hingewiesen, dass aus daten- schutzrechtlicher Sicht eine möglichst "personenunabhängig" geführte Buchhaltung angestrebt werden sollte. In der Zwischenzeit hat sich der Bundesrat für das Modell einer weitgehend pauschalen Kostenabrechnung mit den Kantonen entschieden, was nicht nur eine Vereinfachung der Buchführung, sondern auch eine "Entschär- fung" der Datenschutzprobleme mit sich bringt. Zudem wurde der Fürsorgeteil aus dem Projekt ausgeklammert, so dass keine besonders schützenswerten Ge- sundheits- und Fürsorgedaten anfallen werden. Das definitive Projekt wird uns zu gegebener Zeit vorgestellt werden.
2.11. Revision des Ausländer- und des Asylgesetzes
7rvqvrrBrrr rvvrpuytqr 7qr hqrrvqtrvpurSr hpuqvr6shur9hrpuirvtr 9hvr qrvrrqh 9TB vruqvrvpuvtr9hrirh irvtrvu rarpxrqvu Vsht vrqr Tpu r yhir9hrirh irvtrvBrrryir pu vrir arv9vssr rriqr yvpur@ sir rssrqrVshtqr Pyvr at vssrqqrVshtqr 7rh irvtAvtr hiq Apxrvpux vvryyr Qr r
In die Berichtperiode fiel die Verabschiedung der Revision des Ausländer- und des Asylgesetzes durch den Bundesrat zu Handen der eidgenössischen Räte. In die Re- visionsvorlagen aufgenommen wurden auch die gemäss DSG erforderlichen Be- stimmungen über die Datenbearbeitung und den Datenschutz. Die Zusammenarbeit zwischen Verwaltung und EDSB darf als gut bezeichnet werden. Wie im ersten und zweiten Tätigkeitsbericht dargelegt (1. Tätigkeitsbericht S. 30ff. und 2. Tätigkeitsbe- richt S. 26f.), haben wir schwerpunktmässig folgende Anliegen unterbreitet: Eine hin- reichende Umschreibung der Bearbeitungen besonders schützenswerter Personen- daten namentlich mittels Abrufverfahren sowie der Bearbeitungszwecke; eine sorg- fältige Prüfung der vorgesehenen Datenbearbeitungs-Vorschriften unter dem Blick- winkel der Verhältnismässigkeit/Erforderlichkeit und der Rechtsgleichheit; eine hin- reichende Umschreibung spezifischer Schutzmassnahmen, insbesondere des Schutzes unbeteiligter Dritter bei polizeilichen Datenbearbeitungen und des Grund- satzes der separaten Aufbewahrung der Asyldaten von den Polizeidaten; ferner eine hinreichende Umschreibung des Schutzes vor unzulässigen Übermittlungen von A- syldaten ins Ausland und in den Heimatstaat, insbesondere die genaue Umschrei- bung der (ausnahmsweise) zulässigen Übermittlungen und der Pflicht zur einzelfall- weisen Güterabwägung der Übermittlung; eine Beschränkung der Bearbeitung von Fingerabdrücken auf das absolut Notwendige durch den Gesetzgeber.
Erfreulicherweise konnten die meisten dieser wichtigen Anliegen in der einen oder anderen Form bei der gesetzgeberischen Arbeit berücksichtigt werden. Die verblei- benden Differenzen betreffen folgende Fragen: Anzahl der Behörden, die zur Aufga- benerfüllung wirklich einen Online-Zugriff auf die zentralen Ausländer- und Asylda- tensammlungen benötigen und denen die erforderlichen Daten nicht auf andere Weise (einzelfallweise oder paketweise und u.U. anonymisiert) bekanntgegeben werden können; Regel, dass bei der Einreise in unser Land grundsätzlich hyyr Asyl- bewerbern die Fingerabdrücke abgenommen werden müssen, so dass auf unter-
schiedliche Verhältnisse nicht oder zu wenig Rücksicht genommen werden kann; Dauer der Aufbewahrung der im System gespeicherten Daten nach Abschluss eines ausländer- oder asylrechtlichen Verfahrens. Wir sehen den vom Parlament in diesen wichtigen Fragen zu treffenden Entscheiden mit grossem Interesse entgegen.
Thhr #trv9rpuyhqqF hvr Ein erstes Abkommen mit Deutschland, welches am 27. November 1995 unter- zeichnet wurde, betrifft den rvhyvtr6ityrvpu"Avtr hiq pxiy#r 6yirr ir der deutschen Behörden aus dem Jahr 1993 mit der schweizeri- schen, EDV-gestützten Fingerabdruck-Datensammlung AFIS. Der einmalige Ab- gleich erfolgt nach dem Wortlaut des Abkommens ausschliesslich zu statistischen Zwecken und soll über die vermutete Tendenz näheren Aufschluss geben, wonach Asylbewerber gleichzeitig in verschiedenen Ländern Asylgesuche einreichen. Wir haben uns bei unserer Stellungnahme auf rein datenschutzrechtliche Ge- sichtspunkte beschränkt, welche im Abkommen vollumfänglich berücksichtigt wur- den. Im einzelnen gilt soweit hier interessierend Folgendes: Die deutschen Daten dürfen nicht im AFIS gespeichert werden; sie werden paketweise elektronisch in ei- nen Arbeitsspeicher eingelesen und nach dem Abgleich eines Pakets sogleich wie- der gelöscht. Allfällige "Treffer" bzw. Übereinstimmungen werden der Asylbehörde vpu mitgeteilt, sondern anonym ausgewertet. Der Abgleich wird von den mit dem Betrieb des AFIS betrauten Beamten des BFF, nicht aber von den für das Asylver- fahren zuständigen Beamten durchgeführt. Der EDSB überwacht den Abgleich, der ihm vorgängig gemeldet wird. Die Fingerabdruckblätter werden gut gesichert in die Schweiz versandt und gelangen nach dem Abgleich wieder an die zuständige deut- sche Behörde (wir hätten uns auch eine sofortige Vernichtung der Papierkopien nach dem Abgleich in der Schweiz vorstellen können).
Schliesslich wurde uns der Entwurf zu einem Durchbeförderungsabkommen mit Kro- atien unterbreitet, welches den formellen datenschutzrechtlichen Anforderungen ent- spricht. Wir haben die zuständigen Stellen im EJPD auf mögliche Umsetzungsprob- leme hingewiesen und unsere Zustimmung von einer periodischen Orientierung und unserer Beiziehung in kritischen Fällen abhängig gemacht. Gleichzeitig haben wir die Ergänzung der im Visumabkommen von 1993 enthaltenen Rückübernahmeklausel im Sinne des DSG und des Durchbeförderungsabkommens angeregt.
" Uryrxvxhv
3.1. Internet - Die Datenschutzleitplanken auf dem Datahighway sind noch butter- weich
Xrvpuhpuirvrvryr7rr vpuyrrtrqrrvrvyvtrIr Air yhtrir rvrvrtrvr@ Apur trvryytvtqvr hhr@ vpxytqrDr rv7r vpuwhu tri purrvr Hvrvrtrpu sr7r rvsA qvr6v xtrqr IrhxvvrqtrrvtrrHhhur xrqvrhpuvr ir puyvpur9hrpu vvxrrvtrpu xr qr
Das Internet ist - wie heute beinahe allgemein bekannt - der grösste weltweite Ver- bund von Computernetzen. Doch es ist mehr als nur einfach ein Netz von Netzen: das Internet bildet mit seinen Benutzern einen Kommunikationsraum, der nicht un- treffend etwa als «global village» bezeichnet wird, als Dorf also, in dem sich die Ein-
wohner elektronische Post und ganze Dateien zusenden, via elektronische An- schlagbretter diskutieren, alle erdenklichen Informationen zum Abruf zur Verfügung stellen, Produkte und Dienstleistungen anbieten, für ihre Interessen werben usw. Das Internet kann als die erste realisierte Stufe, sozusagen als Hauptschlagader der «Global Information Infrastructure» betrachtet werden.
Die Wurzeln des heutigen Internet reichen zurück in die sechziger Jahre, als das US- Verteidigungsministerium ein Datennetz realisierte, das so konzipiert war, dass es unmöglich sein sollte, das Netz mit einer gezielten punktuellen Zerstörung ausser Gefecht zu setzen. Später fand das Netz bei Universitäten, Forschungseinrichtungen und Behörden Verbreitung. Immer mehr Teilnehmer erkannten den Nutzen der durch das Netz gebotenen Kommunikationsmöglichkeiten, sodass sich immer mehr Institu- tionen in immer mehr Ländern ankoppelten. Ein regelrechter Boom setzte ein. Von einer breiteren Öffentlichkeit wurde das Internet erst anfang der neunziger Jahre wahrgenommen, als sich vermehrt Firmen anschlossen und bald auch die Möglich- keit bestand, mit dem heimischen PC an der globalen Kommunikation teilzunehmen.
Das Internet bietet den Benutzern, seien sie Informationsanbieter oder -bezüger, als modernes interaktives Kommunikationsmittel enorme Vorteile. Rasch und zu niedri- gen Verbindungskosten können Informationen stets aktuell zur Verfügung gestellt werden und weltweit jederzeit abgerufen werden. Für alle erdenklichen Interessens- gebiete finden sich Datenmaterial und Diskussionspartner; kaum ein anderes Medi- um ermöglicht einen derart freien weltweiten Meinungsaustausch.
Wie oben erwähnt, waren die Nutzer das weltweiten Computernetzes bis vor einigen Jahren zum grossen Teil Wissenschafter und Mitarbeiter in Behörden, Universitäten und Forschungsstätten. Der Datenaustausch erfolgte gewissermassen unter In- sidern, unter denen ein weitgehendes kollegiales Vertrauensverhältnis herrschte. Damit ist es nun endgültig vorbei. Durch den Internet-Boom, ausgelöst durch vielfäl- tige Angebote und leicht bedienbare graphische Benutzeroberflächen, die in ihrer Funktionalität dauernd weiterentwickelt werden, ist das Netz nun für breite Kreise attraktiv geworden. Die Benutzer haben sehr unterschiedliche Möglichkeiten und Motivationen, sich der Internet-Dienste zu bedienen. Da das frühere gegenseitige Vertrauen unter den Netzteilnehmern und damit eine weitgehende Selbstregulierung abnimmt, treten auch Schattenseiten unserer Gesellschaft im Netz in Erscheinung. Dadurch hat es das Internet in den Medien - teilweise auch durch Übertreibung der Zustände - bis- weilen zu zweifelhafter Berühmtheit gebracht. Zu Diskussionen Anlass gegeben haben insbesondere ungeklärte Fragen des Ur- heberrechts, generell die Publikation von in Papierform verbotenen Schriften (z.B. des Buches «Le Grand Secret» in Frankreich), die Verbreitung von porno- graphischem Material in Form von Text, Bild und Ton, die Verbreitung von volksver- hetzender politischer Propaganda, die Veröffentlichung von Anleitungen zum Bege- hen von Straftaten u.s.w.
Unerwünschte Aktivitäten sind mit den gegenwärtigen, weitgehend auf nationale Ter- ritorien beschränkten Rechtssystemen, nicht mehr adäquat zu erfassen. Häufig weiss der Benutzer nicht einmal, in welchem Staat die Daten, die er gerade abruft, gespeichert sind. Da bei der Benutzung des Netzes Personendaten anfallen, die in beträchtlichem Masse auch als Inhaltsdaten übermittelt werden, ergeben sich Datenschutzrisiken für die betroffenen Personen:
Zugang zum Internet bieten sogenannte Service-Provider. Konnte ihre Zahl vor kur- zer Zeit noch an einer Hand abgezählt werden, sind heute über dreissig Firmen von unterschiedlicher Grösse und Angebotspalette auf dem schweizer Markt tätig. Auch Online-Dienste, wie Compuserve, America Online, Swiss Online (Videotex) etc. bie- ten ihren Kunden mittlerweile neben ihren eigenen Angeboten auch Zugriff zum In- ternet an. Dem Provider ist es technisch möglich, das Kommunikationsverhalten seiner Kunden (von denen er aufgrund der Geschäftsbeziehung zusätzliche Daten kennt) weitge- hend zu erfassen. Er kann feststellen, zu welchen Zeiten ein Benutzer im Netz aktiv ist, welche Dienste er nutzt, mit welchen andern Internetbenutzern er elektronisch in Kontakt tritt sowie welche Informationen er von welchen Servern abruft. In diesem Zusammenhang ist die Entstehung von Persönlichkeitsprofilen - d.h. Zusammenstel- lungen von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit ei- ner natürlichen Person erlauben - möglich. Die Bearbeitung von Personendaten ist jedoch lediglich in dem Masse statthaft, wie es für die Aufgabenerfüllung (Abrech- nung etc.) des Providers notwendig ist. Der Kunde sollte über die vom Provider getroffenen technischen und organisa- torischen Massnahmen informiert werden, damit er die Risiken möglichst gut ein- schätzen und sein Verhalten anpassen kann.
9r 7rr xhqr9hrpuvsytrqrvpuhipuyvrrqrHh hurqWr uhyrrvrr uriyvpur irr )
Im übrigen haben die Internet-Teilnehmer in der Schweiz die Bestimmungen des DSG einzuhalten. Die in der Verordnung zum DSG aufgeführten technischen und organisatorischen Massnahmen sind umzusetzen.
Eine kommerzielle Nutzung (direkte Bestellung, Bankgeschäfte etc.) des Internet in grösserem Stil ist ohne umfassende Sicherheitsmechanismen undenkbar. Diese sind auch dem Datenschutz sehr dienlich. Bereits sind zahlreiche Lösungen für bestimm- te Anwendungen verfügbar. Das künftige «Internet Protocol Next Generation (IPng)» wird bereits Sicherheitsdienste enthalten.
Ausserdem ist zu prüfen, ob die am Internet-Kommunikationsprozess Beteiligten sich in einem Ehrenkodex auf Einhaltung eines für ihren Einflussbereich bestimmten Da- tenschutz-Minimalstandards verpflichten könnten. Die Massnahmen dürfen aber kei- nesfalls zu einer Zensur des freien Datenflusses ausarten; es geht vielmehr darum, bestimmte Verkehrsregeln aufzustellen, die einer missbräuchlichen Verwendung des Netzes Einhalt gebieten.
3.2. Die Revision des Fernmeldegesetzes
DCviyvpxhsqvr6suritqr yrrHyrqrUryrxvxhvrx vr vpurSh qrqvrSrvvqrQUUP thvhvtrrrvrqr Ar ryqrtrrrhqvrChqtrrDShurqr r xyhvhu rv qhTryyt
Bis spätestens 1998 werden im europäischen Raum die noch verbleibenden Mo- nopole der nationalen Telekomgesellschaften abgeschafft. Damit die Telecom - PTT konkurrenzfähig bleibt, wird auch ihr Monopol aufgehoben. Der dann freiwerdende Markt soll durch eine Revision des Fernmeldegesetz (FMG) an einheitliche Bedin- gungen geknüpft werden.
In der ersten Ämterkonsultation konnten wir mit der federführenden Stelle einige be- stehende Differenzen bezüglich des Entwurfes begleichen. Wir hatten vertreten, dass Regelungen über die Verwendung der Daten über den Fernmeldeverkehr, die Identifikation des anrufenden Anschlusses sowie die Sicherheit der Fernmeldediens- te gegen unbefugte Abhörung und Eingriffe in das Gesetz aufgenommen werden sollten. Mit dem Argument, es handle sich um ein Marktgesetz wurde diese Forde- rung abgelehnt. Man konnte sich jedoch darauf einigen, dass im Gesetz der Bundes- rat verpflichtet werden soll, insbesondere für diese Punkte Regelungen zu schaffen.
Für zwei andere Bereiche konnte jedoch keine Einigung erzielt werden.
Die PTT vertraten die Ansicht, dass aus Gründen der Qualitätssicherung ein Auf- zeichnen und Abhören von Funksprüchen und Telefongesprächen erforderlich sei. Da hierbei Gesprächsinhalte aufgezeichnet werden, führt das zu weitreichenden Eingriffen in das Fernmeldegeheimnis und damit in die Persönlichkeit. Wir sind der Ansicht, dass für derartige Massnahmen im Gesetz die einzelnen Voraussetzungen aufzulisten sind. Desweiteren kann die Aufzeichnung und Überwachung von Ge- sprächsinhalten nur zulässig sein, wenn im Gesetz ein Bewilligungsverfahren festge- legt wird. Das Bewilligungsverfahren muss zumindest vorsehen, dass nach einem bestimmten Zeitraum die Überwachung einer höheren Instanz zur Bewilligung vorzu- legen ist. Auch die Dauer der Massnahme und die Häufigkeit der Wiederholungen
sind zu regeln.
Desweiteren vertraten wir im Zusammenhang mit den detaillierten Taxauszügen die Ansicht, dass grundsätzlich an der im heutigen FMG bestehenden Regelung festzu- halten ist. Diese statuiert, dass nur die Ortszentralen bekanntgegeben werden dür- fen, während die letzten Stellen der angewählten Abonnentennummer fehlen. Es sollten jedoch Ausnahmeregelungen für Beweiszwecke in einem hängigen Verfahren sowie für die Glaubhaftmachung eines schutzwürdigen Interesses durch den Kunden geschaffen werden.
3.3. Das neue Postverkehrsgesetz
9vr6suritqrHyqr QUU7r vrirvUryrxvxhvir rvpusAu hpurvr Wr qr tqr Tryytqr QhsqrHh xVqvrrqr trSrput htrqhirrurqrQr xru trr rvqvr r qr DShurqr r rr xyhvuhirv Tryyttrr
Nach den uns vorgelegten Entwürfen soll die Post über eine Zwitterstellung ver- fügen. So sollen die Tätigkeitsbereiche der Post in Universaldienst und Wettbe- werbsdienst aufgeteilt werden. Der Universaldienst wird in reservierte und nicht re- servierte Dienste unterteilt. Es ist vorgesehen, dass die Post die nicht reservierten Dienste des Universaldienstes sowie die Wettbewerbsdienste in Konkurrenz zu pri- vaten Anbietern erbringt. Demgegenüber verbleibt der reservierte Dienst des Univer- saldienstes im Monopol der Post. Somit verbleibt der Post das ausschliessliche Recht, adressierte Briefpostsendungen und Pakete bis 2 kg zu befördern. Postsen- dungen über 2 kg würde die Post in Konkurrenz zu privaten Anbietern befördern.
Aus der Unterscheidung zwischen reserviertem und nicht reserviertem Univer- saldienst bei den Postsendungen folgt, dass für die Bearbeitung der Kundendaten unterschiedliche Datenschutzbestimmungen Anwendung finden. Für das Bearbeiten von Daten von Kunden, die Postsendungen bis zu 2 kg durch die Post zustellen las- sen, finden die Bestimmungen des DSG über das Bearbeiten durch Bundesorgane Anwendung. Verschickt dagegen ein Kunde ein Paket mit einem höheren Gewicht, so finden die Bestimmungen des DSG für die Bearbeitung durch Private Anwen- dung. Eine Differenzierung der anzuwendenden Bestimmungen anhand des Gewichts- unterschiedes - ist die Postsendung noch 2 kg schwer oder bereits 2,1 kg - ist kaum praktikabel. Auch aufgrund der Tatsache, dass sich die Rechtsbeziehungen zwi- schen der Post und ihren Kunden neu nach Privatrecht richten sollen, hat man sich darauf geeinigt, für das Bearbeiten von Kundendaten die Bestimmungen des DSG über das Bearbeiten von Personendaten durch Privatpersonen für anwendbar zu erklären. Hingegen soll sich die Aufsicht nach den Bestimmungen für Bundesorgane richten.
Differenzen bestanden bezüglich der inhaltlichen Anforderungen der Regelung. Wir hatten gefordert, dass auf Gesetzesebene Regelungen geschaffen werden müssten:
Wie beim Entwurf für das Fernmeldegesetz hat man sich auch hier darauf geeinigt, dass die Einzelheiten nicht im Gesetz, sondern vom Bundesrat auf Verord- nungsebene zu regeln sind.
3.4. Rechtsgrundlage für das Bereitstellen von Mitarbeiter-Daten durch die Bun- desverwaltung im Abrufverfahren
Dr ru 6 irvtrir trurqhAir 6thirAir vu rHvh irvr ryrx vpu qr hshqr rXrvr6i s Wr sAttryyr6puvqr 7qrr hytvqvrrUrqr
Auch in der Bundesverwaltung nimmt der Wunsch der Organisationseinheiten zu, Angaben über ihre Mitarbeiter etwa im X.500-Directory oder im WWW im INTERNET zum Abruf zur Verfügung zu stellen.
Das DSG verlangt für das Zugänglichmachen von Personendaten im Abrufverfahren eine ausdrückliche Rechtsgrundlage, für besonders schützenswerte Personendaten und Persönlichkeitsprofile sogar eine Rechtsgrundlage in einem formellen Gesetz. Dieses Erfordernis wurde unsererseits mit dem Bundesamt für Informatik (BFI) im Zusammenhang mit dem Pilotprojekt X.500 sowie mit der Bundeskanzlei, welche den Staatskalender im Abrufverfahren zur Verfügung stellen will, diskutiert. Das BFI rief eine Arbeitsgruppe ins Leben, deren Ziel die Ausarbeitung einer genügenden Rechtsgrundlage ist. In der Arbeitsgruppe sind die Bundeskanzlei, das BFI und wir vertreten. Diese Arbeitsgruppe soll eine für die gesamte Bundesverwaltung gültige Rechtsgrundlage ausarbeiten.
Dabei stellte sich die Frage, welche Personendaten zu welchen Zwecken in Ab- rufverfahren zugänglich gemacht werden dürfen. Die Angaben sollen die Kom- munikation mit den Staatsangestellten erleichtern. Dementsprechend sind wir der Auffassung, dass nur diejenigen Angaben bekanntgegeben werden dürfen, die für die Herstellung der Kommunikation mit dem betreffenden Mitarbeiter erforderlich sind. Allenfalls könnten auf Wunsch des einzelnen Mitarbeiters weitergehende Daten aufgenommen werden, sofern sich dies auf Angaben beschränkt, die in unmittelba- rem Zusammenhang mit seiner Aufgabenerfüllung stehen.
3.5. Meldung von Postfachadressen an städtische Einwohnerkontrolle durch die PTT
9vrQUU7r vrirthiriv x r rtryvtIhrq6q rrwrr Q xqrhqvr@vur x yyrqr Thq7r irxhqvrrvQshpur ssrr qr hsthirDqvrrahruhtryyrvpuqvrA htrhpuqr ayvtxrv qr 7rxhthir
Durch die regelmässige Weitergabe mittels Mutationslisten erhielt die Einwoh- nerkontrolle nach dem uns bekannten Sachverhalt auch die neuen Postfach- adressen von Personen, die zwar in der Stadt wohnten, sich jedoch nicht bei der Einwohnerkontrolle angemeldet hatten, sowie von Personen, die nicht in der Stadt Bern wohnten.
Für die Bekanntgabe von Personendaten wie neuen und geänderten Postfach-
adressen durch ein Bundesorgan bedarf es einer Rechtsgrundlage. Gemäss der Verordnung zum Postverkehrsgesetz dürfen die PTT-Betriebe den Absendern auf Verlangen Adressänderungen von Empfängern gegen eine in den Ausfüh- rungsbestimmungen festzusetzende Taxe mitteilen. Adressänderungen dürfen mithin nur an die Absender einer Postsendung bekanntgegeben werden, wenn der Emp- fänger bereits über eine Postzustelladresse verfügt, die sich jedoch in der Zwischen- zeit geändert hat. Mit den Mutationslisten erhielt die Einwohnerkontrolle auch Postfachadressen von Personen, die nicht in der Stadt Bern wohnen und somit nicht bei der Ein- wohnerkontrolle gemeldet sind. Für diese Personen verfügte die Einwohnerkontrolle nicht bereits über eine Postzustelladresse. Die betreffende Bestimmung in der Ver- ordnung zum Postverkehrsgesetz konnte somit nicht als Rechtsgrundlage für die Weitergabe dieser Daten herangezogen werden.
Die Weitergabe von Postfachadressen von Personen, die nicht bei der Einwoh- nerkontrolle gemeldet sind, ist somit unzulässig.
3.6. Elektronische Post und Verzeichnisdienste
9r @9T7uhr (($Bryrtrurvhsrv6 irvyrrvvTvpur urvsxv rr rurrHhvyrvrrvrWr rvpuvqvrqr 7qrr hyt rr
Die elektronische Post (E-Mail) wird heute in vielen Firmen und Behörden als flexib- les und effizientes Kommunikationsmittel rege genutzt. Normalerweise werden kaum Sicherheitsfunktionen implementiert, sodass nicht ausgeschlossen werden kann, dass die übertragenen Meldungen unbefugt gelesen oder auch verändert werden können. Weiter können falsche Kommunikationspartner vorgetäuscht werden. Immer populärer werden Verzeichnisdienste, die es ermöglichen, Kommunika- tionsadressen, sowie allenfalls weitere Angaben über potentielle Kommunika- tionspartner abzurufen.
Anlässlich eines mehrmonatigen Testbetriebs eines Mailsystems mit Verzeich- nisdienst des Bundesamtes für Informatik konnte sich der EDSB überzeugen, dass Produkte verfügbar sind, die es erlauben, folgende Sicherheitsfunktionen (basierend auf kryptographischen Methoden) zu nutzen:
Wie wir feststellen konnten, sind die heute allgemein in der Büroautomation verwen- deten Rechner genügend leistungsfähig, um die Ver- und Entschlüsselung der elekt- ronischen Meldungen ohne nennenswerte Verzögerungen auszuführen. Zudem sind die Anwendungen einfach zu bedienen.
Die erwähnten Sicherheitsfunktionen können nur verwendet werden, wenn Sender qEmpfänger mit der entsprechenden Ausrüstung versehen sind, insbesondere muss das Schlüsselmanagement geregelt sein (Stichwort: Trusted Third Party).
Q vhir rvpu
Gemäss Art. 328b OR darf der Arbeitgeber Personendaten über die Arbeitnehmer nur bearbeiten, soweit sie deren Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind (vgl. zu dieser Thematik auch den 1. Tätigkeitsbericht, S. 53 ff. und den 2. Tätigkeitsbericht, S. 44 ff.):
4.1. Führen von Listen mit privaten Adressen der Mitarbeiter
9r 6 irvtrir qh s qhrvrhyyrHvh irvr ttyvpurGvrvqr vh r6q rrqr Hvh irvr sAu rrqvrsA qvr6 irvttyvpuv
Eine Privatperson hat sich bei uns erkundigt, ob der Arbeitgeber eine Liste mit den privaten Adressen der Mitarbeiter führen und diese Liste den anderen Mitarbeitern zugänglich machen darf. Er darf dies nur, wenn es für die Arbeit notwendig ist, zum Beispiel, weil immer wieder Angestellte privat kontaktiert werden müssen. Ebenso darf der Arbeitgeber die Liste den anderen Angestellten nur zur Verfügung stellen, wenn dies für die Arbeit wirklich notwendig ist. Wenn es aber genügt, dass zum Bei- spiel die Zentrale die Angestellten privat erreichen kann, so darf der Arbeitgeber die Liste nur an die Zentrale abgeben. Wenn die privaten Adressen der Angestellten für die Arbeit überhaupt nicht benötigt werden, so darf der Arbeitgeber keine solche Ad- ressliste erstellen.
4.2. Überprüfung akademischer Titel durch den Arbeitgeber
@vrxhhyrVvr vqh7qrhsA BrqurvrrqqvrTpurvr vpurSrx rxsr rxrqArhsrvr6s htrrvr6 irvtrir irAtyvpuqr 5ir Astqr7r shipuyrrvr irvvuhtrryyr v r puvrqr rhtvr rqhvrr puvrqyvpurtrryvpur7rvtr6r qtr rur
Ein Arbeitgeber, der in seinem Betrieb eine Ärztin beschäftigt, wollte sich ver- gewissern, ob die von der Ärztin bei der Anstellung gemachten Angaben betreffend ihren Berufsabschluss zutreffend seien. Zu diesem Zweck gelangte er nacheinander an die Ausbildungsstätte, eine kantonale Universität, welche ihm die Auskunft ohne von der betroffenen Person unterzeichnete Einwilligungserklärung verweigerte; an das Bundesamt für Gesundheitswesen, welches die Anfrage nur auf schriftlichen Antrag mit Begründung beantworten wollte und an die Schweizerische Rektorenkon- ferenz, welche die gewünschte Auskunft bereitwillig telefonisch erteilte. Der Arbeit- geber war von diesen unterschiedlichen Reaktionen sehr befremdet und bat uns um Stellungnahme.
Die unterschiedlichen Reaktionen auf das Auskunftsgesuch des Arbeitgebers erklä- ren sich daraus, dass die verschiedenen auskunfterteilenden Stellen verschiedenen gesetzlichen Bestimmungen unterworfen sind. Die Universität ist als kantonale Lehr- anstalt dem kantonalen Datenschutzgesetz unterworfen, während das Bundesamt für Gesundheitswesen den Bestimmungen des Datenschutzgesetzes über Bundes- organe untersteht und die Schweizerische Rektorenkonferenz den Bestimmungen des Datenschutzgesetzes über private Personen unterworfen ist. Die Überprüfung
der Auskunfterteilung, bzw. -verweigerung durch die Universität lag demnach nicht in unserem Kompetenzbereich. Hingegen konnten wir feststellen, dass die Reaktion des Bundesamtes für Gesundheitswesen den diesbezüglichen Bestimmungen in der Medizinalprüfungsverordnung entsprach und somit korrekt war. Inwiefern die Auskunfterteilung durch die Schweizerische Rektorenkonferenz zulässig war, liess sich aufgrund der vorliegenden Angaben nicht beurteilen. Es hätte im Einzelfall ü- berprüft werden müssen, ob durch die Datenbekanntgabe keine Verletzung der Per- sönlichkeit der betroffenen Person erfolgt war. Dies ist jedoch Sache des Zivilrich- ters. Sie verstiess aber auf jeden Fall nicht grundsätzlich gegen die Bestimmungen des DSG für Datenbearbeitungen durch private Personen.
4.3. Bekanntgabe von Lohndaten an ausländische Steuerbehörden
6 "!'iPSrurvr 9hrirxhthirq purvrarvtvrqr yhtvqr TpurvhqrChvv6yhqvpurtrtrrvr @ sAyyttrryv pur QsyvpurqrChvrhpuqrSrpuqrir rssrqrGhqrr s qr yvpu v
Die belgischen Steuerbehörden verlangten von einer Firma mit Hauptsitz in Belgien und Niederlassung in der Schweiz Auskünfte über ihre Angestellten in der Schweiz. Sie verlangten namentlich eine Liste mit den Namen der Grenzgänger und den an diese bezahlten Löhnen, um der deutschen und der französischen Steuerverwaltung im Zusammenhang mit der Abklärung von Doppelbesteuerungsfragen Auskünfte erteilen zu können.
Nachdem geklärt war, dass die in Frage stehenden Arbeitsverträge nach dem Bun- desgesetz über das Internationale Privatrecht (IPR) grundsätzlich schweizerischem Arbeitsrecht unterstehen, musste die Zulässigkeit der Datenbekanntgabe im Lichte von Art. 328b OR untersucht werden. Die Datenbekanntgabe an Behörden im Rah- men gesetzlicher Pflichten des Arbeitgebers ist als Datenbearbeitung anzusehen, welche zur Durchführung des Arbeitsvertrags erforderlich ist. Somit steht Art. 328b OR einer solchen Datenbekanntgabe nicht entgegen. Hingegen kann die Niederlassung in der Schweiz durch die belgischen Behörden nicht zur Bekanntgabe dieser Daten gezwungen werden. Ein solcher Zwang kann nur durch die schweizerischen Behörden in der Folge eines Rechtshilfegesuchs aus- geübt werden. 9vr Tryythur qr v @ #ttr DQS q 9ryirrr t rpuvWyyrvqr WQ7 (($DDT!$#sshitrq px
4.4. Auskunftsrecht der Arbeitnehmer - Recht auf Herausgabe graphologischer Gutachten
9r 6 irvrur uht qyvpu6 rpuhsCr hthirrvr FvrrvrAir vur ryyrt huytvpurBhpurvpuhir hsCr hthirqrP vtvhy qhqvrrqr6 irvtrir tru 7rvIvpuhryytqhpu7rrqvttqr6 irvr uyvrvqht huytvpurBhpurr vpur
Grundsätzlich hat jede Person ein Anrecht, vom Inhaber einer Datensammlung zu erfahren, welche Daten über sie in einer Datensammlung enthalten sind. Die Aus- kunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie zu
erteilen. Im Einvernehmen mit dem Inhaber der Datensammlung oder auf dessen Vorschlag hin, kann die betroffene Person ihre Daten auch an Ort und Stelle einse- hen. Aber auch dann muss die betroffene Person die Möglichkeit haben, Kopien zu verlangen. Dieses Vorgehen kann insbesondere für die Einsicht in die eigene Perso- nalakte von Bedeutung sein. Beschränkt werden kann das Recht auf eine Kopie nur im Rahmen von Art. 9 DSG, also insbesondere wegen überwiegender Interessen Dritter oder eigener überwiegender Interessen. Somit haben betroffene Personen grundsätzlich Anrecht auf eine Kopie des graphologischen Gutachtens, hingegen kann der Arbeitgeber z. B. den Namen des Gutachters abdecken.
Ein Anspruch auf Herausgabe besteht sicherlich bezüglich Aktenstücken, welche dem Arbeitnehmer gehören (Bewerbungsunterlagen mit Ausnahme des Be- werbungsschreibens selbst, Sozialversicherungsausweis usw.). Bei Aktenstücken, welche dem Arbeitgeber gehören, besteht hingegen kein Anspruch auf Herausgabe des Originals. Da ein graphologisches Gutachten in der Regel vom Arbeitgeber in Auftrag gegeben wird und somit ihm "gehört", besteht kein Anspruch auf Herausga- be des Gutachtens.
Bei Nichtanstellung hat der Bewerber das Recht, die Vernichtung sämtlicher ihn betreffender Unterlagen, welche nicht an ihn herausgegeben werden müssen, zu verlangen. Dazu gehören die graphologischen Gutachten. Während der Dauer einer Anstellung kann das graphologische Gutachten als Teil der Personalakte aufbewahrt werden, sollte aber nicht innerhalb der Akten offen zugänglich sein. Nach Beendi- gung des Arbeitsverhältnisses schliesslich darf der Arbeitgeber nur diejenigen Daten aufbewahren, deren er für die ordnungsgemässe Auflösung des Arbeitsverhältnisses und die Erfüllung allfälliger nachvertraglicher Pflichten (z. B. Zeugnis- oder Buchfüh- rungspflicht, sozialversicherungsrechtliche Pflichten) bedarf. Alle anderen bearbeite- ten Daten sind zu vernichten. Dazu gehören auch graphologische Gutachten und Eignungstests.
4.5. Überwachung von Arbeitnehmern - Gerät zur elektronischen Zählerstandser- fassung
@vBr ryrx vpurauyr hqr shtxhhpu 5ir Astqr 6 irvyrvtr rqrr qryhtrqh hvpurvrrhvpurqtr r ryyr5ir hputqr T hiyrr ryvr
Vor einiger Zeit haben verschiedene Elektrizitätswerke neue Geräte für das Stromablesen eingeführt, welche jeweils den genauen Zeitpunkt der Zählerstand- serfassung durch jeden Zählerableser erfassen. Das Gerät erlaubt es den zugriffs- berechtigten Sachbearbeitern, bei der Energieverrechnung im Einzelfall für Kun- denrückfragen im System festzustellen, welche konkrete Bezugsstelle an welchem Datum von welchem Ableser abgelesen wurde. Gleichzeitig besteht die Möglichkeit, Datum und Zeit der einzelnen Bezugsstellenablesungen auszuwerten. Daraus kann ersehen werden, in welchem Rhythmus der betreffende Ableser gearbeitet hat. Ein Angestellter eines Elektrizitätswerkes wandte sich an uns, um zu erfahren, ob dies datenschutzkonform sei. Rückfragen beim betreffenden Elektrizitätswerk ergaben, dass das neue Gerät im Prinzip nicht zur Überwachung der Ableser benützt und die Angaben grundsätzlich nicht personenbezogen ausgewertet werden. Bei der Einführung des Geräts seien alle Ableser über das neue Gerät und den Verwendungszweck informiert worden
und hätten die Zusicherung erhalten, dass nicht generell personenbezogen ausge- wertet werde. Ab Februar 1994 seien aufgrund von konkreten Ungereimtheiten in wenigen Einzelfällen Stichproben vorgenommen worden. An einer Sitzung im Mai 1994 sei über die Stichproben informiert worden und danach sei nur noch in einem Fall über einige Wochen eine Auswertung vorgenommen worden.
Der Arbeitgeber darf Überwachungs- und Kontrollsysteme nur aus Sicherheits- gründen oder zur Erfassung der Arbeitsleistung einsetzen. Als Überwachungs- und Kontrollsysteme sind alle technischen Systeme zu verstehen, durch welche einzelne oder mehrere Tätigkeiten oder Verhaltensweisen der Arbeitnehmer/innen erfasst werden können. Dazu gehören auch die beschriebenen Geräte zur elektronischen Zählerstandserfassung. Diese werden jedoch im vorliegenden Fall grundsätzlich verwendet, um die Rechnungsstellung zu erleichtern und dienen nur in begründeten Einzelfällen zur Überprüfung der Arbeitsleistung. Die betroffenen Personen wurden über die Verwendungsmöglichkeiten des Geräts informiert und der beabsichtigte Verwendungszweck wurde präzisiert. Damit ist aus datenschutzrechtlicher Sicht im vorliegenden Fall nichts gegen einen derartigen Einsatz des Geräts zur elektroni- schen Zählerstandserfassung einzuwenden. Hingegen könnte die systematische, andauernde Überwachung der Ableser mit Hilfe dieses Geräts schon aus gesund- heitsschutzrechtlicher aber auch aus datenschutzrechtlicher Sicht nicht zugelassen werden.
7qrr hyt
Die Bearbeitung von Arbeitnehmerdaten durch Bundesorgane untersteht nicht nur den - im Vergleich zur Privatwirtschaft restriktiveren - Bestimmungen des DSG, son- dern auch dem Beamtengesetz samt Vollzugsbestimmungen (Rundschreiben des Eidgenössischen Personalamtes vom 16. Januar 1984).
4.6. Ersatz von PERIBU durch BVPLUS und Blockierung der Projekte für eine de- zentralisierte Bearbeitung von Personaldaten
Trvru r rEhu rv qqvrA htrqvxvr iQ@SD7Vq puqhrrTr 7WQGVTr rr qryytyr r Uvtxrvir vpuT$&ss@ vEhh ((%uhirwrqpuqvrWr h yvpurQ@SD7VvtrrvyqhqvrrT rqrpuv7r vritrrqir rvhi ((&vrvvtrr trrrv q
Im Rahmen der Prüfung des Entwurfs der Verordnung zum Schutze der Daten von Bundesbediensteten und von Projekten für eine dezentralisierte Bearbeitung von Personaldaten wie PIAS und PISEDI haben wir insbesondere auf die folgenden Punkte hingewiesen (vgl. unseren 1. Tätigkeitsbericht, S. 57 ff.):
Im Hinblick auf den Datenschutz und die Datensicherheit haben wir im weiteren die
Entwicklung von dezentralisierten Systemen zur Bearbeitung von Personaldaten un- terstützt, wobei das System PERIBU/BVPLUS nur mehr der Lohnverwaltung hätte dienen sollen. Anlässlich der wenigen Kontakte mit dem Verantwortlichen von PERIBU/BVPLUS (insbesondere anlässlich einer Sitzung im Februar 1992) haben wir die Notwendig- keit von Transparenz betont und verlangt, dass wir regelmässig über die weitere Entwicklung des Dossiers auf dem laufenden gehalten werden.
Dennoch wurden uns erst im Januar 1996 die Datensammlung BVPLUS angemeldet und Dokumentationsunterlagen zugestellt. Aus diesen geht hervor, dass das Projekt so weit fortgeschritten ist, dass es vom nächsten Jahr an in einigen Ämtern getestet werden soll. Wir haben ausserdem erfahren, dass die Entwickler der dezentralisier- ten Systeme angewiesen worden sind, ihre Arbeiten einzustellen.
Ende Januar 1996 haben wir mit der für BVPLUS zuständigen Stelle Verbindung aufgenommen, um ihr ihre gesetzlichen Verpflichtungen in Erinnerung zu rufen und um die gesamte mit dem Projekt im Zusammenhang stehende Dokumentation zu verlangen.
4.7. Umfang der Verpflichtung eines Mitarbeiters des Bundes, zwecks Aufnahme in eine Pensionskasse Angaben über seinen Gesundheits zustand zu ma- chen
@vrHvh irvr vqr7qrqvrvu r rrQrvxhr vrvrW iruhyhstrr qrh uhWr vyttrirr9vrQrvxh ruhrqvrir ssrrQr trirrvahruhtvqr 6shurrvr A htritrhsAyyrqqvr7qrhtrryyruhrvputrrvtr qvrA htr LX qrirvDurrvvvr 6D9TUrr uir4Nirh r
Wir haben zunächst festgestellt, dass der erste Teil des Formulars, der den Ge- sundheitszustand der Eltern und Geschwister der betroffenen Person betrifft, die Bestimmungen des DSG verletzt, weil er sich auf Drittpersonen bezieht. Abgesehen davon war die betroffene Person nicht unbedingt in der Lage, diese Fragen korrekt zu beantworten.
Im weiteren haben wir betont, dass die Frage bezüglich einer allfälligen HIV-Infektion unverhältnismässig ist. Die wissenschaftlichen Erkenntnisse in bezug auf die Auswir- kungen einer Seropositivität auf die Entwicklung des Gesundheitszustandes reichen nicht aus, um eine Konzentration auf AIDS, eher als auf andere Krankheiten wie bei- spielsweise Malaria zu rechtfertigen. Aus diesem Grund ist es nicht gerechtfertigt, wenn Personen, welche die oben angeführte Frage bejahen oder eine Beantwortung dieser Frage verweigern, systematisch mit einem fünfjährigen Vorbehalt in die Pen- sionskasse aufgenommen werden.
Die Pensionskasse hat unterdessen den gegen die betroffene Person verhängten Vorbehalt aufgehoben und verwendet eine allfällige HIV-Infektion nicht mehr als Aufnahmekriterium. Der Inhalt des Fragebogens, der von den künftigen Mitgliedern der Pensionskasse auszufüllen ist, wird gegenwärtig überarbeitet.
4.8. Begriff der ausschliesslich zum persönlichen Gebrauch bestimmten Daten
9vrHvh irvr vrvr6ruhWr vyttrirrTvruhvtrrvy qhvu W trrr vu rUr vxhyrqr rvtrrurq6Atrqh hxvr uh9vrrFvr qrqrQr hyqvrqrir rssrqr6rAir trir 9vr7r ssrr qrhpur 9 pxtrrqhvvrqvrsxvr rTrvr r vpur9vrrTrvrruvryrDs hvrAir qhFrqBrurtr vr Hvh irvr vr7rr xtrqvrrQr r
Zunächst haben wir festgehalten, dass gemäss den allgemeinen Regeln des Per- sönlichkeitsschutzes niemand berechtigt ist, den Terminkalender einer anderen Per- son einzusehen und erst recht nicht, Fotokopien davon zu erstellen oder die Vernich- tung gewisser Seiten zu verlangen. Dem Inhaber eines Terminkalender steht es im übrigen frei, darin alles zu notieren, was er will.
Im weiteren haben wir festgehalten, dass der betreffende Terminkalender nicht eine Datensammlung im Sinne des DSG darstellt, da er nicht so strukturiert ist, dass die darin enthaltenen Informationen nach Personen gesucht werden können. Ausser- dem haben wir die von dieser Angelegenheit betroffenen Personen darauf hingewie- sen, dass der betreffende Terminkalender nicht dem DSG untersteht, da die darin enthaltenen Daten von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden. Damit das Merkmal “ausschliesslich zum persönlichen Gebrauch bestimmt” erfüllt ist, dürfen jedoch die Informationen nicht ausserhalb des privaten und familiären Kreises benutzt werden, was insbesondere voraussetzt, dass sie nicht den Arbeitskollegen mitgeteilt werden.
4.9. Frageblatt zum ärztlichen Zeugnis für die Bewerber um eine Stelle
9vrir ssrrQr h v6puyhrvrytr rx hxurvirqvtr6ir rurvryhr qrrvyvrhsqrrqvvvpurA htriyhr puvrqrr Tvhyhsruhyrvpuhtrtriruhrqvr qr 6ryythtrsqruhr Xv qrtrirrhqhrpu rpuyvpur Tvpuqr UhhpurTryyt rurqhuysA qvr6ryythyhpusA qvr6shurvqvr@vqtrv purWr vpur txhr@WF rvA htritrr rqrv q
Es wurde uns eine veraltete Version des Frageblatts zur Prüfung eingereicht. 1989 wurde ein neues Formular ausgearbeitet. Unsere Bemerkungen sind daher aus- schliesslich für jene Mitarbeiter relevant, deren medizinische Untersuchung “nach der alten Regelung” erfolgte.
Nach einer längeren krankheitsbedingten Abwesenheit der Betroffenen hatte das Departement, bei dem sie angestellt war, über die Freigabe ihrer Stelle für eine an- dere Person zu entscheiden und musste überdies entscheiden, ob die betroffene Person invalid erklärt werden soll. Der Personalchef, der mit der Regelung dieses Falls beauftragt war, wurde vom ärztlichen Dienst darüber informiert, dass die Mitar- beiterin bei der Anstellung frühere Spitalaufenthalte verschwiegen hatte, weil sie be- fürchtete, andernfalls nicht angestellt zu werden. Er entschied sich daher zunächst, die betroffene Person für das Verschweigen der Wahrheit mit einer Entlassung aus eigenem Verschulden zu bestrafen, was die Leistungen der Eidgenössischen Versi- cherungskasse erheblich reduziert hätte.
Von der Rechtsvertreterin der betroffenen Person zu diesem Fall angefragt, hielten wir fest, dass die frühere Praxis des Bundes, für zwei verschiedene Zwecke (Abklä- rung der Eignung für eine Stelle und Aufnahme in die EVK) den gleichen medizini- schen Fragebogen zu benutzen, gegen die im DSG verankerten Verhältnismässig- keits- und Zweckbindungsgrundsätze verstiess. Abgesehen davon stand der Stellen- bewerber vor einem Dilemma: gegenüber einem zukünftigen Arbeitgeber ist sein “Notwehrrecht der Lüge" anerkannt, gegenüber der Pensionskasse hingegen nicht.
Was den ärztlichen Dienst anbelangt, haben wir festgehalten, dass dieser, wenn von ihm Berichterstattung an ein Departement verlangt wird, nur seine Schluss- folgerungen in bezug auf die Arbeitsfähigkeit bzw. den Grad und die Dauer der Ar- beitsunfähigkeit der betroffenen Person mitteilen darf. Das Departement entscheidet auf der Grundlage dieser Schlussfolgerungen über eine allfällige Invaliditätserklärung der betroffenen Person bzw. über eine Ausschreibung ihrer Stelle. Wir sind zum Schluss gekommen, dass das Departement in einem derartigen Fall rvriwrxvr@purvqs#yyr und dass es nicht befugt ist, einen Mitarbeiter in einem solchen Fall aus eigenem Verschulden zu entlassen oder die EVK über ihm bekannte Lücken zu informieren.
Da der Personalchef des Departements der EVK zum Zeitpunkt unserer Intervention die ersten Schlussfolgerungen bereits mitgeteilt hatte, konnte er nurmehr einen Teil unserer Vorschläge befolgen, indem er beim Entscheid über die Arbeitsfähigkeit der betroffenen Person eine objektivere Formulierung wählte.
4.10. Verzeichnen von Abwesenheitsgründen im Wochenprogramm
9vr7rxhhputqr qrhvyyvr r6irrurvt AqrirvF hxurv6 F F hxSrxhyrrUur hvrvrvrXpur t hqhvpu qr vryih r6 irvtritqr ir ssrrQr qr rvr t r r6 huyQr rttyvpuvvvpuqhrpuxs
Die Bekanntmachung der Abwesenheitsgründe bei Krankheit von Arbeitnehmern gegenüber Dritten kann in der Tat eine Verletzung der Persönlichkeit der betroffenen Person zur Folge haben. Gemäss dem Grundsatz der Verhältnismässigkeit sollen Daten nur in dem Umfang und in der Weise bearbeitet werden, die zur Erreichung des angestrebten Zieles erforderlich sind. Das bedeutet, dass Daten über die Ge- sundheit der Arbeitnehmer vom Arbeitgeber nur in dem Umfang erhoben werden dürfen, zudem sie für die Abwicklung des Arbeitsverhältnisses erforderlich sind (na- mentlich Lohnfortzahlung und Arbeitsplanung während krankheitsbedingter Abwe- senheiten). Ebenso dürfen solche Angaben vom Arbeitgeber innerhalb des Betriebs nur an diejenigen Personen bekanntgegeben werden, welche diese aufgrund ihrer Tätigkeit benötigen (Personaldienst, Vorgesetzte und unmittelbare Mitarbeiter der betroffenen Person). Bei anderen Personen genügt in der Regel die Mitteilung, dass die betreffende Person während einer bestimmten Zeit abwesend ist. Deshalb ist es ratsam, im Wochenprogramm nur die Abwesenheit ohne Angabe von Gründen zu verzeichnen, wobei darauf zu achten ist, dass nicht schon aus der ge- wählten Umschreibung hervorgeht, dass ein gesundheitliches Problem vorliegt. Wird zum Beispiel in allen anderen Fällen der Abwesenheitsgrund angegeben, so weist schon das Fehlen des Grundes darauf hin, dass die Abwesenheit krankheitshalber erfolgt. Es empfiehlt sich deshalb, im Wochenprogramm nur berufsbedingte Abwe- senheiten zu spezifizieren, während Abwesenheiten aus anderen Gründen (Krank-
heit, Ferien, Urlaub usw.) unter einer einheitlichen Bezeichnung eingetragen werden.
4.11. Pflicht der Angestellten des Auskunftsdienstes 111 der Telecom-PTT, ihren Vornamen zu nennen
9vrUryrr h vprqr6xsqvrrqr UryrpQUUxrurr r purqrtrryvpurB qyhtrvputrtrr qrvpuyvpuIhr hpupuvqrW hrryqr
Eine bei der Kreisdirektion Genf angestellte Person erkundigte sich, ob sie ge- zwungen werden könne, sich bei der Auskunfterteilung mit Namen und Vornamen zu melden. Dies wurde von der Kreisdirektion unter Hinweis auf die Verbesserung des Dienstes am Kunden und die Praxis in der Privatwirtschaft verlangt. Die Teleope- ratricen fühlten sich von der Pflicht, den Vornamen zu sagen, in ihrer Privatsphäre beeinträchtigt und befürchteten Belästigungen von Seiten der Kunden. Eine bei der Kreisdirektion Genf durchgeführte Kontrolle (Einzelheiten, S. 63) ergab, dass die Vornamensnennung keinen konkreten Nutzen zeitigt und dass sie verschiedentlich zu Vertraulichkeiten seitens der Kunden geführt hat. Wir vertraten deshalb die Auf- fassung, ohne ausdrückliche diesbezügliche gesetzliche Grundlage könne von den Teleoperatricen die Nennung des Vornamens nicht verlangt werden. Die Kreisdirek- tion Genf informierte daraufhin die Angestellten entsprechend.
4.12. Empfehlungen des Eidgenössischen Personalamtes zur Anwendung von Ein- zel- und Gruppen-Testverfahren
6st qqr rurqr6rqtr puvrqrr@vryqB r Urr shu r Qr hyryrxvvr uhyiqr 7qrr hytuhqh@vqtr vpurQr hyh@sruytr 6rqtqvrr Urr shu rhtrh irvrq Tryythurr i rvr
In der Tat erfreuen sich Einzel- und Gruppen- Test-Verfahren wie graphologische Gutachten, psychologische Leistungs-, Intelligenz- oder Persönlichkeitstests, biogra- phische Fragebogen und andere Beurteilungssysteme (Assessment, Assessment- Center) immer grösserer Beliebtheit als Hilfsmittel zur Evaluation von gegenwärtigen oder künftigen Mitarbeiter/innen. Bereits im 2. Tätigkeitsbericht (S. 47 ff.) hatten wir zu einem automatisierten Persönlichkeitstest (Sigmund Potential) Stellung genom- men und die Voraussetzungen für den datenschutzrechtlich korrekten Umgang mit den bearbeiteten Daten aufgezeigt. Gestützt auf diese Stellungnahme sowie auf den Leitfaden für die Bearbeitung von Personendaten im Arbeitsbereich durch private Personen erliess das Eidgenössiche Personalamt Empfehlungen zum Umgang mit solchen Testverfahren und unterbreitete sie uns zur Begutachtung. Die Empfehlun- gen stellen verschiedene Grundsätze auf, von denen wir im folgenden nur diejenigen hervorheben, die nicht bereits im 2. Tätigkeitsbericht dargelegt wurden.
$ Wr vpur trr
Tvhyr vpur tr
5.1. Systematische Bekanntgabe der Diagnose an die Krankenkassen
HvqrDx hs rrqrrrF hxrr vpur ttrrr qrrvrA htr vrqr hxryyqvrqrir ssrrQh r purvru r rEhu rqvx vr v q)qvrrhvpur7rxhthirqr 9vhtrhqvrF hxrxhrXv qrhstrs qr Srpuvtxrvqvrr 7rxhthirr
Die Frage des Grundsatzes der Bekanntgabe der Diagnose an die Krankenkassen, die von den betroffenen Partnern bereits seit mehreren Jahren diskutiert wird, ge- wann mit dem Inkrafttreten des neuen Krankenversicherungsgesetzes (KVG; siehe auch S. 59) wieder an Aktualität. Wir wurden aufgefordert, uns zur Rechtmässigkeit der systematischen Bekanntgabe der Diagose, wie sie im Entwurf der Verordnung über die Krankenversicherung (KVV) vorgesehen war, zu äussern.
Art. 42 Abs. 4 KVG lautet: “Der Versicherer xh eine genaue Diagnose oder zusätz-
liche Auskünfte medizinischer Natur r yhtr”. Aus dem Wortlaut dieser Bestim- mung geht hervor, dass eine Anfrage des Versicherers im Einzelfall erforderlich ist. Art. 63 Abs. 1 des KVV-Entwurfs (Fassung vom Januar 1995) verlangte jedoch, dass die Leistungserbringer ihre Diagnose systematisch bekanntgeben. Wir haben zum einen festgehalten, dass dieser Begriff definiert werden müsste, um den Meinungs- verschiedenheiten in bezug auf seine Auslegung ein Ende zu setzen. Zum anderen haben wir betont, dass diese Verpflichtung zur Bekanntgabe der Diagnose wider- rechtlich war, da sie über den durch das KVG festgelegten Rahmen hinausging und unverhältnismässig war. Wir haben schliesslich empfohlen, für jene Fälle, in denen auf die Diagnose zurückgegriffen werden muss, eine Liste mit Diagnose-Codes zu benutzen, die für die ganze Schweiz gültig ist. Damit könnten die Unterschiede zwi- schen den Kantonen abgebaut werden, und zudem würde sichergestellt, dass alle Versicherten in der Schweiz dem gleichen Datenschutzniveau unterständen.
Die neue Fassung des KVV-Entwurfs wurde uns nicht mehr zur Stellungnahme un- terbreitet, bevor sie vom Bundesrat am 27. Juni 1995 verabschiedet wurde und am
9vrGrvtr i vtr uhirvvu rSrputrsytrqr6thirhpur) h Fhyrqh vqr 7ruhqytr0 i r i hpurGrvtrv9rhvyyvr tt hqqrqr htriyvpurUh vs vru0 p 9vhtrvShur6ih!
Wr vpur r qGrvtr i vtr x=rvqrUh vsr #trr rvih rry pur6thirq9vhtrvqr Srtry qrWr hrh qr qr Wr h r# vqrWr vpur r hpu6 vxry$&qrBrrrirxhtrirvqD i vtr vpurvpuqvr7rxhthirqr 9vhtrhpu6 vxry#!6ir# q$qrBrrr9h9rh rrxhhstrrvhr6 htqr Wr v pur r qqr Grvtr i vtr rvrtrhpurvr vputyvtrrvurvyvpur 9vhtr8qrsryrtr
9vrqr iyvth vpurF hxrsyrtrr vpur tir rrGrvtr vqvqr Srputhqr rGrvtrxyh r purvqr
Die Auslegung von Buchstabe c des ersten Absatzes dieser Bestimmung muss in erster Linie vor dem Hintergrund des im zweiten Absatz fettgedruckten Satzes erfol- gen. Die darin erwähnte Bestimmung des KVG wird jedoch auf unterschiedliche Weise ausgelegt, von denen wir nachfolgend die gängigsten aufführen:
Die meisten Versicherer sind der Auffassung, dass sie aufgrund dieser Rechtsgrundlagen berechtigt sind, von den Leistungserbringern die systemati- sche Bekanntgabe der detaillierten Diagnose zu verlangen;
Gewisse Leistungserbringer (darunter jene aus dem Kanton Genf, für die das Inkrafttreten der neuen Bestimmungen mit einem radikalen Wechsel der bis- herigen Praxis im Bereich der Rechnungsstellung verbunden ist) sind der Auf- fasssung, dass die Bekanntgabe der Diagnose grundsätzlich ausgeschlossen ist und nur in Einzelfällen auf eine entsprechende Anfrage hin erfolgen kann;
Eine dritte Gruppe vertritt folgende vermittelnde Auffassung: Da im Gesetz
vorgesehen ist, dass dem Versicherer hyyr6thirtrhpur qrA rqvrr irvt, um die Berechnung der Vergütung und die Wirtschaft- lichkeit der Leistung überprüfen zu können, sei auch die Diagnose systema- tisch bekanntzugeben. Darunter sei eine Rahmen-Diagnose - im Gegensatz zur detaillierten Diagnose - zu verstehen, deren Detaillierungsgrad zwischen den betroffenen Partnern vertraglich vereinbart werden müsse. Eine detaillier- te Diagnose könne nur in Einzelfällen und auf eine entsprechende Anfrage hin bekanntgegeben werden.
Nach der Prüfung der Botschaft zum KVG haben wir uns der zweiten “Schule” ange- schlossen, da diese Auffassung am besten mit dem Datenschutz zu vereinbaren ist. Wir sind darüber hinaus zum Schluss gelangt, dass die KVV nur innerhalb dieser Schranken als rechtmässig betrachtet werden kann. Zudem haben wir festgehalten, dass man beim gegenwärtigen Stand der Wissenschaft in diesem Bereich nicht da- von ausgehen kann, dass die systematische Bekanntgabe der Diagnose - so detail- liert diese auch sein mag - ein zufriedenstellendes Kriterium für die Überprüfung der Vergütungen und der Wirtschaftlichkeit der Leistungen darstellt.
5.2. Analysen- und Tarifliste
An ihrer letzten Sitzung vom 31. Mai 1995 hat die Arbeitsgruppe ADAK einen Be- richtsentwurf mit dem Titel Bericht der Arbeitsgruppe “Datenschutz und Analysenliste / Krankenversicherung” (im folgenden ADAK-Bericht) verabschiedet, der eine Zu- sammenfassung der Datenschutzprobleme, die sich besonders im Bereich der Kran- kenversicherung stellen und entsprechende Lösungsvorschläge enthält(vgl. unsere beiden ersten Tätigkeitsberichte, S. 48 bzw. 52). Die Mitglieder der Arbeitsgruppe haben betont, dass der ADAK-Bericht aufgrund seiner Auswirkungen auf das Sozial- und Privatversicherungsrecht sowie auf das Arbeitsrecht und das Recht im Bereich der Gentechnologie so schnell als möglich veröffentlicht werden muss. Dieser Be- richt wird voraussichtlich auch der parlamentarischen Kommission als Reflexions- grundlage dienen, die am Entwurf für ein Bundesgesetz über den Allgemeinen Teil des Sozialversicherungsrechts arbeitet. Leider müssen wir jedoch feststellen, dass das Eidgenössische Departement des Innern den ADAK-Bericht noch immer nicht veröffentlicht hat.
5.3. Umfang der Verpflichtung der Ärzte zur Zusammenarbeit mit den Unfallversi- cherungen
Ein Arzt hat Bedenken in bezug auf die Vereinbarkeit des Übereinkommens zwi- schen den Unfallversicherern und der FMH mit dem DSG geäussert. Einige Bestim- mungen sehen nämlich eine systematische Weiterleitung von Kopien der ärztlichen Berichte an die Versicherungen vor.
Wir haben zunächst betont, dass eine Weiterleitung von Informationen nur innerhalb der durch das DSG vorgegebenen Schranken - insbesondere der allgemeinen Grundsätze wie beispielsweise dem Verhältnismässigkeitsprinzip - erfolgen darf, auch wenn das Unfallversicherungsrecht Bestimmungen enthält, wonach die Ärzte zur Bekanntgabe der von den Versicherern verlangten Informationen verpflichtet sind. Dies bedeutet, dass ein Versicherer nur jene medizinischen Daten verlangen und bearbeiten darf, die zur Regelung des Schadenfalls erforderlich sind. Da die von
uns geprüften vertraglichen Bekanntgabeklauseln diesen Grundsatz nicht berück- sichtigen, sind wir zum Schluss gekommen, dass sie unrechtmässig sind.
Q vhr vpur tr
5.4. Merkblatt und Einwilligungsklausel
D6puyhr r7rr xtrAir qvrvqrHr xiyr qirvqr @v vyyvttxyhrypuirrurqrGApxrtyr r!Uvtxrvir vpuT$# qrqrWr vpur r rrA yvr t puytrsA qvrr9xr r Tryythurr i rvrXv uhirirvqvrr BryrtrurvhqvrIr qvtxrv U hh rr vr quhirh7rvvryqr Grirr vpur tqvssr rvr r@vvyyvttxyhry trpuyhtr
Die Zusammenarbeit für eine bessere Formulierung der Merkblätter und der Einwilli- gungsklauseln wird sowohl mit den Personen- als auch mit den Sachversicherern weitergeführt. In diesem Zusammenhang haben uns die Versicherer neue Formulie- rungsvorschläge unterbreitet. Wir haben eine Verbesserung der Transparenz der Merkblätter festgestellt, wobei insbesondere bei den Abschnitten über die Einwilli- gung (die jederzeit widerrufen werden kann) und über das Auskunftsrecht noch ge- wisse Ergänzungen angebracht werden müssen.
Was die Einwilligungsklausel anbelangt, haben wir festgestellt, dass die Formu- lierung namentlich in bezug auf Dritte, die konsultiert werden können, sowie bezüg- lich der Zwecke des geplanten Datenaustausches jetzt genauer ist. Wir haben hin- gegen daran erinnert, dass eine einzige Standard-Generalklausel für eine wirksame Einwilligung der betroffenen Person nicht genügt, und dass sich die Einwilligung nicht sowohl auf die Bearbeitung von Daten im Zusammenhang mit dem Abschluss eines Versicherungsvertrages als auch auf alle weiteren Entwicklungen des Vertrags
Wir haben deshalb empfohlen, zwischen den rqvtr und den ivqv# r Fyhry zu unterscheiden, wobei es sich bei den ersteren um jene Vertragsbe- stimmungen handelt, die von der betroffenen Person unterschrieben werden müs- sen, damit der Vertrag abgeschlossen und durchgeführt werden kann. Der Versiche- rer möchte, dass auch die subsidiären Vertragsbestimmungen unterzeichnet werden, damit er beispielsweise ermächtigt ist, die entsprechenden Daten zu Marketingzwe- cken zu verwenden. In solchen Fällen ist der Versicherer jedoch nicht berechtigt, den Abschluss des Versicherungsvertrags von der Unterzeichnung einer solchen Klausel abhängig zu machen.
Ausserdem haben wir vorgeschlagen, zwischen den r htyvpur und den r htyvpur7rvrutr zu unterscheiden und für jede Versicherungsbranche eigene Vertragsbestimmungen zu verabschieden. Eine Sachversicherung (beispielsweise für ein Gebäude) setzt für ihre Verwaltung nicht die Bearbeitung gleichvieler Perso- nendaten voraus, wie eine Personenversicherung. Auch innerhalb der Personenver- sicherungen gibt es Unterschiede: so sind die Häufigkeit und der Umfang des Infor- mationsflusses bei einer Lebensversicherung und bei einer Krankenversicherung unterschiedlich. Am Beispiel der Lebensversicherung haben wir folgende Lösungen vorgeschlagen:
erforderlich, deren Wirkung auf das Ende der vorvertraglichen Beziehung be- grenzt werden kann. Wenn kein Vertrag zustande kommt, hat dies abgesehen von gewissen Ausnahmen (gesetzliche Pflicht zur Aufbewahrung der Daten, notorisch schlechte Zahlungsmoral des Betroffenen, strafrechtlich relevante Fälle) die Löschung aller bearbeiteten Personendaten zur Folge. In den Aus- nahmefällen kommt eine Aufbewahrung der Daten je nach den Umständen während fünf bis zehn Jahren in Betracht. Falls die betroffene Person zu diesem Zeitpunkt eine subsidiäre Klausel unter- zeichnet, die sich spezifisch auf das Marketing bezieht, kann der Versicherer die dafür erforderlichen Daten aufbewahren;
Während der Durchführung des Vertrags ist keine Einwilligungsklausel erfor- derlich, wenn die Datenbearbeitung innerhalb der durch die allgemeinen Grundsätzen des DSG gesetzten Schranken bzw. im für die Verwaltung eines Lebensversicherungsvertrags erforderlichen Umfang bearbeitet werden (ob- jektiv zweckmässige Datenbearbeitung). Die @vvyyvtt des Versicherten muss jedoch immer dann eingeholt werden, wenn im Zusammenhang mit einem spezifischen Ereignis - wie beispielsweise dem Eintritt eines Schadens - eine über den im vorhergehenden Abschnitt be- schriebenen üblichen Rahmen hinausgehende Datenbearbeitung erforderlich ist. Falls der Versicherte nicht in der Lage ist, seine Einwilligung zu geben, oder falls er verstorben ist, muss die Einwilligung seines gesetzlichen Vertre- ters eingeholt werden;
Für das im Marketing praktizierte Cross-Selling ist die Unterzeichnung einer spezifischen subsidiären Klausel erforderlich. Die betroffene Person muss die Möglichkeit haben, sich dem Cross-Selling zu widersetzen, ohne dass dies Auswirkungen auf den Versicherungsvertrag hat.
Schliesslich haben wir begrüsst, dass die Versicherer ihrerseits eine Klausel un- terzeichnen, in der sie sich verpflichten, ihre Geheimhaltungspflicht und die im Merk- blatt umschriebenen Modalitäten der Datenbearbeitung zu beachten. Wir haben ver- langt, dass diese Klausel durch folgende Rubriken ergänzt wird:
Zusicherung, dass wenn kein Vertrag abgeschlossen wird, die dadurch nutz- los gewordenen Daten gelöscht werden (vorbehältlich der vorgängig erwähn- ten speziellen Umstände);
Bei Zustandekommen des Vertrags Gewährleistung der Information der be- troffenen Person und Einräumung einer genügenden Frist, wenn von einem Dritten stammende Daten negative Auswirkungen für die betroffene Person haben könnten. Sie könnte diesfalls ein Recht auf Anhörung geltend machen;
Zusicherung, dass in den Fällen, in denen die Datenbearbeitung über den durch das DSG vorgegebenen Rahmen hinausgeht (beispielsweise im Scha- densfall), die Zustimmung des Versicherten oder seines gesetzlichen Vertre- ters eingeholt wird
5.5. Automobil-Versicherung
6yAytrqr 9r rtyvr tiGvir hyvvr tqrXrirr iqvrvqvrr7r
rvpu x rrvtrsAu qrr purqvrWr vpur r tyvpuvryrDs hvrAir ir ssrrQr rr uhyrvu rQ qxrirtyvpuqr Hh xhhrxrDqvrrahruhtuhrvrQ vhr rv 6 hts yh trhqrhqhrpu rpuyvpur Tvpu Asryhr
Wir haben zunächst in Erinnerung gerufen, dass die gesamte Tätigkeit der Ver- sicherer dem DSG und seinen allgemeinen Grundsätzen untersteht, zu denen auch das Verhältnismässigkeitsprinzip gehört. Wir haben im weiteren darauf hingewiesen, dass das Inkrafttreten des DSG unter anderem auch eine Einschränkung der Trag- weite der allgemeinen Norm über die Anzeigepflicht des Antragstellers im Bundes- gesetz über den Versicherungsvertrag zur Folge hat. Es darf nicht länger allein auf- grund der Tatsache, dass eine Frage im Antragsformular enthalten ist, angenommen werden, dass sie wichtig ist. Aus datenschutzrechtlicher Sicht ist eine Frage nämlich nicht schon dann zulässig, wenn ihre Beantwortung für den Versicherer irr ist, sondern erst, wenn die Antwort für den Versicherer r s qr yvpu ist, um über den An- trag entscheiden zu können.
Wir haben festgestellt, dass der Inhalt des Antragsformulars die obenerwähnten Kri- terien nur zum Teil erfüllte, da die gestellten Fragen nicht immer in einem direkten Zusammenhang mit dem Abschluss des Versicherungsvertrags standen.
Die im Antragsformular enthaltene Bestimmung, mit welcher der Antragsteller der Bekanntgabe von ihn betreffenden Personendaten an Dritte zustimmt, ist aufgrund ihres viel zu allgemeinen Charakters unrechtmässig.
Gegenwärtig sind Gespräche im Gang, um eine Lösung zu finden, die praktikabel ist und gleichzeitig die Anforderungen des Datenschutzes erfüllt.
% Brqurvrr
6.1. Die Expertenkommission für das Berufsgeheimnis in der medizinischen For- schung
9vrrrvqr!&Ehh ((#irrurqrFvvirvyyvtr irvr W hrtrrqvvvpurA put wrxrqh6 irvrvQr rqh r7vqvrrarvxurSrpurtrirvhyyrrqvvvpurA put wrxrvQr rqhrqvr@vvyyvttyvpur ir ssrrQr rrvtruyr qrAr@vypurW trurh vrvr WvryhuyAyyr qr h hxvxhiryqhvryrrqvvvpurA put wrxrvshxvpurWr rtrtrqh6 trurvvr iqrqqhvvyyrthyh r9vr@vrt rvr @r rxvvrypur7rvyyvttrqr htr purr6 r rvyr xhryyqrWr puqrBrrtrir qh qvrruhyih raqrrv @qrrr
Die Kommission beruht auf Art. 321bis des Schweizerischen Strafgesetzbuchs (StGB), der am 1. Juli 1993 gleichzeitig mit dem DSG in Kraft getreten ist. Sie be- steht aus insgesamt elf vom Bundesrat eingesetzten Mitgliedern, welche paritätisch die interessierten Gruppen (Forscher, Patienten, Ärzte) vertreten. Dementsprechend setzt sie sich zusammen aus drei Vertretern der Forschung, drei praktizierenden Ärz- ten und drei Vertretern von Patientenrechtsorganisationen. Darüberhinaus müssen
zwei Mitglieder Juristen sein. Das Sekretariat der Kommission wird vom Bundesamt für Gesundheitswesen geführt, wo zur Zeit eine juristische Mitarbeiterin voll für diese Aufgabe tätig ist. Abgesehen von der administrativen Zuordnung zum Eidgenössi- schen Departement des Inneren ist die Kommission unabhängig.
Von insgesamt 29 als Gesuche entgegengenommenen Schreiben - vorwiegend für Medizinalregister und für einzelne Forschungsprojekte - hat die Kommission bisher 21 bewilligt und deren 2 abgelehnt. (Allerdings hatte die Ablehnung des Gesuchs nur im einen Fall zur Folge, dass das Forschungsprojekt nicht durchgeführt werden konnte. Im anderen Fall verhielt es sich so, dass gar keine Bewilligung erteilt zu wer- den brauchte, weil das Forschungsprojekt das Arztgeheimnis nicht verletzt). 6 Gesu- che sind noch hängig.
Für Forschungsprojekte, welche nicht mit anonymisierten Daten durchgeführt werden können und bei denen die Einwilligungen der Betroffenen nicht oder nur mit unver- hältnismässigem Aufwand eingeholt werden könnten, kann die Kommission die Auf- hebung des Arztgeheimnisses im folgenden Sinne bewilligen: Einerseits wird behan- delnden Ärzten erlaubt, Patientendaten für das bestimmte Forschungsprojekt zur Verfügung zu stellen. Andererseits wird den Forschern erlaubt, bei behandelnden Ärzten um Patientendaten nachzufragen, ohne dass dadurch eine Verpflichtung der behandelnden Ärzte zur Bekanntgabe begründet würde. Zusätzlich wägt die Kommission ab, ob die Forschungsinteressen gegenüber den Geheimhaltungsinteressen überwiegen.
Die Expertenkommission erteilt einerseits sogenannte Tqr irvyyvttrfür ge- nau spezifizierte Forschungsprojekte, wobei die Bearbeitung derselben Daten im Rahmen eines anderen Projektes einer neuen, besonderen Bewilligung bedarf. Auf der anderen Seite werden trr ryyr7rvyyvttr an Organe erteilt, welche Medizi- nalregister führen (Registerbewilligungen), sowie an Kliniken, welche regelmässig Forschungsprojekte durchführen (Klinikbewilligungen). Mit den erteilten Bewilligun- gen verbindet die Kommission Auflagen zur Sicherung des Datenschutzes. Dabei handelt es sich um Anweisungen betreffend die Aufbewahrung der sensiblen Daten, betreffend die Regelung der Zugriffsberechtigungen sowie allenfalls betreffend die Zerstörung der Papierdossiers und Datenträger. Der EDSB hat die Aufgabe, die Ein- haltung dieser Auflagen zu überwachen. Anlässlich der Aufnahme dieser Tätigkeit im Bereich der epidemiologischen Krebsregister hat sich gezeigt, dass neben der ge- setzlich vorgeschriebenen “Überwachungstätigkeit” von den verantwortlichen For- schern auch eine gewisse Hilfestellung bei der Interpretation der Bewilligungsent- scheide benötigt wird.
Der Vollständigkeit halber sollen noch die drei weiteren im DSG vorgesehenen Auf- gaben des EDSB im Bereich der medizinischen Forschung erwähnt werden: Zu- nächst geht es hierbei um die Beratung der Expertenkommission. Sodann soll der EDSB darauf hinwirken, dass die Patienten über ihre Rechte informiert werden. Und schliesslich kann er Bewilligungsentscheide mit Beschwerde bei der Eidgenössi- schen Datenschutzkommission anfechten.
6.2. Die Anwendbarkeit des DSGs auf kantonale Krankenhäuser
7rvqr 7rh irvtQhvrrqhrq puxhhyrTvyr vAhyyAhyy r purirv6 Qhvrrr uyvhsqr vhrqr qrssryv
purSrpuir uqihvpuvShurqrSrpuqr7qrqr qr Fh rirrt9vrF hxrir rtvssryvpurTvyr rvhyvpur @vtrpuhshtrAitvyhpuiqrtr vpuyvpur Srpu rputvpuhytr r iyvpurUvtxrvqrBrrvrr
Eine private Person fragte uns an, ob auf öffentliche Spitäler im Kanton Zürich das DSG oder das kantonale Datenschutzgesetz anwendbar sei. Das Datenschutzgesetz des Kantons Zürich gilt nicht, wenn ein Organ am wirtschaftlichen Wettbewerb teil- nimmt und dabei nicht hoheitlich handelt (Paragraph 3 lit. a Datenschutzgesetz des Kantons Zürich). In diesem Zusammenhang wurden verschiedene Arzt- Patientenverhältnisse geprüft, und insbesondere untersucht, ob die öffentlich- rechtlichen Krankenhäuser hoheitlich handeln.
Wenn ein Patient von seinem Arzt aufgrund eines privatrechtlichen Auftrags- verhältnisses in einem (öffentlich-rechtlichen) Spital behandelt wird, basiert dessen Tätigkeit auf dem Obligationenrecht. Somit wird der Arzt in diesem Teilbereich als private Person betrachtet, womit die privatrechtlichen Bestimmungen des DSG an- wendbar sind.
Der Datenschutz in kantonalen Spitälern ist eine Aufgabe der kantonalen Ver- waltungsorganisation, weshalb die Kantone Regeln über den Umgang mit Per- soneninformationen in der öffentlichen kantonalen und kommunalen Verwaltung er- lassen müssen. Auf die öffentlich-rechtlichen Spitäler findet daher das jeweilige kan- tonale Datenschutzgesetz Anwendung. Für den Kanton Zürich stellte sich die Frage, ob die öffentlich-rechtlichen Krankenhäuser hoheitlich handeln. Nach der bundesge- richtlichen Rechtsprechung gilt die Krankenbetreuung in öffentlichen Spitälern, so- weit sie von Ärzten in amtlicher Eigenschaft ausgeübt wird, als hoheitliche, nicht als gewerbliche Tätigkeit des Gemeinwesens (BGE 102 II 47 und 101 II 183, bestätigt in BGE 115 Ib 179 E. 2). Demnach handeln die öffentlich-rechtlichen Spitäler hoheitlich und nehmen nicht am wirtschaftlichen Wettbewerb teil, womit das kantonale Daten- schutzgesetz zur Anwendung gelangt.
6.3. Das Auskunfts- und Einsichtsrecht der Patienten
9h6xs rpuvrvr hyr@yrrqr9hrpu rpurypurt q yvpuwrqrQhvrrr tyvpurvrBrqurvqhrvxyvrF hxrtr puvpurrvrurD6hursyyrxrhpuhqr rQr r9 vr@v vpuvqvrF hxrtrpuvpurrvrQhvrrrur
Das Auskunftsrecht ist grundsätzlich von der betroffenen Person selbst auszuüben (höchstpersönliches Recht) und niemand kann darauf verzichten. Wenn ein Patient aus physischen oder psychischen Gründen nicht in der Lage ist, sein Auskunftsrecht geltend zu machen, treten seine gesetzlichen Vertreter (beispielsweise Eltern oder ein Vormund) an seine Stelle. Das Auskunftsrecht kann unabhängig von einem Ver- fahren (beispielsweise Zivil- oder Strafprozess) geltend gemacht werden.
Wenn ein Dritter (beispielsweise ein Angehöriger) Einsicht in eine Krankenge- schichte nehmen möchte, muss der Patient den Arzt vorher von seiner ärztlichen Schweigepflicht entbinden und seine Einwilligung in die entsprechende Bekanntgabe erteilen. Erst danach kann eine Krankengeschichte einem Dritten zur Einsicht vorge- legt werden. Eltern oder anderen gesetzlichen Vertreternsteht kein Recht auf Ein-
sicht zu, wenn ein noch nicht mündiges aber urteilsfähiges Kind in einer ärztlichen Besprechung war und die Einwilligung zurBekanntgabe der Diagnose an die Eltern nicht erteilen will. DemEinsichtsrecht kommt besonders in hängigen Prozessen und Verfahren eine bedeutende Rolle zu. Denn Parteien oder ihre Vertreter haben Anspruch auf Akten- einsicht. Für die Annahme eines das Einsichtsrecht überwiegenden öffentlichen oder privaten Interesses bedarf es immer "greifbarer wesentlicher Anhaltspunkte. In je- dem Fall ist eine konkrete, sorgfältige und umfassende Abwägung der entgegenste- henden Interessen nach pflichtgemässem Ermessen vorzunehmen, wobei der Grundsatz der Verhältnismässigkeit zu beachten ist" (BGE 115 V 301f). Das heisst, in jedem Fall sind die besonderen Umstände und Interessen zu berücksichtigen.
Dritte können auch ohne Einwilligung der betroffenen Person Einsicht in Ge- sundheitsdaten von Verstorbenen erlangen, sofern
6.4. Bekanntgabe-, Speicher- und Benutzerkontrolle im medizinischen Bereich
9hvqr 9hrpuvqr rqvvvpurQ hvv xhtrrr qrxh vqirvrrpuvpurW xru trhiqvtih 9htru r7rxhthir Trvpur q7rr x yyr9vrirrrpuvpurHhhurArwr qpu rhrvrqr7rr hpuhtrrqrr qr
9vr7rxhthirx yyr
Der Absender von Gesundheitsdaten muss gewährleisten, dass diese aus- schliesslich an den berechtigten Empfänger gelangen. In jedem Fall muss nach- träglich rekonstruierbar sein, wer, wem welche Daten zu welchen Zwecken be- kanntgegeben hat. So kann zum Beispiel verhindert werden, dass Analyselabors die Resultate von HIV-Tests an unberechtigte Empfänger bekanntgeben.
Bei der Datenübermittlung per Fax ist nicht auszuschliessen, dass das Dokument an ein anderes als das gewünschte Ziel gelangt. Der Absender trägt die Verantwortung für die Übermittlung, weshalb er ein Interesse hat, dass die Informationen nicht in falsche Hände geraten. Bei besonders schützenswerten Personendaten empfiehlt es sich, den Empfänger zuvor zu unterrichten, damit der Zugang datenschutzgerecht sichergestellt werden kann. Die Übermittlung sollte verschlüsselt (chiffriert) erfolgen und das Faxgerät so aufgestellt sein, dass nur berechtigte Personen Einsicht in die empfangenen Dokumente nehmen können. Falls irrtümlicherweise ein Fax einem falschen Empfänger zugestellt wird, sollte der Absender vom falschen Empfänger darüber orientiert werden. Auf dem Fax kann beispielsweise zusätzlich eine Klausel mit folgendem Inhalt angebracht werden: "So- fern Sie nicht der in der Adresse angeschriebene Empfänger sind, bitten wir Sie, den
Absender unverzüglich telefonisch zu benachrichtigen und anschliessend den Fax zu vernichten".
Trvpur x yyr
Damit gespeicherte Gesundheitsdaten nicht unbefugt verändert oder gelöscht wer- den können, müssen sich die Benützer durch Benützernachweis (User-ID) und Passwort über ihre Berechtigung ausweisen. Zum Schutz der Gesundheitsdaten vor Verlust sind zudem regelmässig Sicherungskopien zu erstellen, die in einem Tresor verwahrt werden sollten. Im übrigen muss verhindert werden, dass Gesundheitsda- ten unerlaubterweise auf einen Datenträger - etwa eine Diskette - kopiert werden können. Dazu sind beispielsweise die Disketten-Laufwerke zu sperren. Schriftliche Unterlagen haben einen hohen Beweiswert (beispielsweise bei haft- pflichtrechtlichen Streitigkeiten), weil spätere Änderungen, Radierungen und Ergän- zungen meist erkennbar sind. Bei elektronischen Aufzeichnungen ist das anders: Ein späteres Löschen, Hinzufügen und Korrigieren im System ersetzt bei den meisten Speichertechnologien das Bestehende, ohne Spuren zu hinterlassen. Damit die Be- weiskraft der elektronischen Dokumentation erhöht wird, sollten Systeme verwendet werden, die ein Überschreiben einmal erfasster Daten und Texte ausschliessen und spätere Ergänzungen in einem Dokument als solche kennzeichnen. Auch die auto- matische Angabe des Datums jeder neuen Eingabe steigert die Fälschungssicher- heit.
7rr x yyr
Es ist zu verhindern, dass Unberechtigte via Einrichtungen zur Datenübertragung Zugriff zu Gesundheitsdaten erhalten. Die Systeme sind insbesondere so zu gestal- ten, dass die Vertraulichkeit und Integrität der Daten durch Einrichtungen zur Fern- wartung sowie durch öffentlich zugängliche Netze nicht tangiert wird.
6.5. Arztgeheimnis bei der Evaluation der Arbeitsbelastung Kranken- und Pflege- heime im Kanton Waadt
7rvqvrr TqvrtrurqrFhXhhqqh qvrTirvrhF hxr qQsyrtrurvrvFhtyvputr rpur rvyrTvrv qvahrh irvvqrr urCrvrhpurvr vRirprvpxryrHruqr tr rXv qrqrWr h yvpurqvrr Vr puttrirrqvr qhrpu rpuyvpurA htrhixy rrypurvpuirvqr 7rxhthir9h rhqvrQ wrxx qvhvryyrvGhhrvrhqvr9hrr shtr hyrvH hyryyr
Der Ablauf der Studie kann für jedes der teilnehmenden Heime in etwa folgen- dermassen beschrieben werden:
Die einfachste Variante, die Rückfragen über den Namen des betroffenen Heimbe- wohners abzuwickeln, würde nun aber eine Verletzung des Berufsgeheimnisses be- deuten. Es galt also, eine Möglichkeit zu finden, welche einerseits den Datenerfas- sern in Québec erlaubt, vom betroffenen Heim Auskünfte bezüglich bestimmter Be- wohner zu erhalten. Andererseits musste sichergestellt werden, dass nur im Heim selbst die Verbindung zwischen bestimmten Personen und deren Krankheitsbildern oder Behandlungen verfügbar ist. Anschliessend wird die gefundene Lösung darge- stellt, welche beide Anforderungen erfüllt:
6.6. Die Sondervorschrift betreffend das Auskunftsrecht bei Gesundheitsdaten - Interpretation
6 vxry'6ih"qr9TBirvqhqr Duhir rvr 9hrhyt9hr Air qvrBrqurvqr ir ssrrQr q purvrvu irrvpurqr6 vrvyryhrxh9r Tvqvrr vryshpuvr hqrr7rvtqqvr vpuqh hr trirqrDr rhvyyrvsytrqrx qh trryyr qr
Das Auskunftsrecht ist deshalb ein zentrales Element des Datenschutzes, weil nie- mand ein Begehren auf Richtigstellung oder Löschung ihn betreffender Daten ver- langen kann, wenn er nicht weiss, welche Daten der Inhaber einer Datensammlung über ihn bearbeitet. Aus diesem Grund ist das Auskunftsrecht im DSG und in der VDSG eingehend geregelt, wobei grundsätzlich ein Anspruch auf schriftliche und kostenlose Auskunft vorgesehen ist. Die Sondervorschrift von Artikel 8 Absatz 3 DSG lautet: “Daten über die Gesundheit kann der Inhaber einer Datensammlung der betroffenen Person durch einen von ihr bezeichneten Arzt mitteilen lassen.”
Diese Ausnahmebestimmung zur Regel der direkten schriftlichen Auskunft hat einen sehr begrenzten Anwendungsbereich. Es geht dabei um Fälle, wo der um Auskunft ersuchenden Person aus unvorbereiteter und direkter Auskunft ein sogenannter Auf- klärungsschaden entstehen könnte. Dass die Vorschrift eng auszulegen ist, ergibt sich einerseits aus der in ihr durchschimmernden nicht mehr zeitgemässen Bevor- mundungstendenz. Andererseits spricht auch die Tatsache für eine enge Auslegung, dass der Gesetzgeber die Formulierung xh und nicht gewählt hat. Hingegen darf aus der Kann-Formulierung nicht geschlossen werden, dass der Inhaber der Datensammlung das Recht hat, die Auskunft über einen Arzt erteilen zu lassen. Vielmehr muss der Inhaber der Datensammlung diesen Weg vorschlagen, wenn die Wahrscheinlichkeit einer gravierenden Schädigung durch direkte Auskunfterteilung hoch ist. In allen anderen Fällen hat eine direkte schriftliche Auskunft an die betrof-
fene Person zu erfolgen.
6.7. Aushändigung eines ärztlichen Zeugnisses an die Erben des Verstorbenen
9h6xs rputr6 vxry'9TBru qr ir ssrrQr 6 vxry 6ih&W9TB rtryqvr@vvpuv9hrr irrQr rqvqh ur rttrrxrv6rqtshyyqr6xs rpu9vrA htriqr @urs hrvrFvrqr yvpurartvrhuqvtrrvrypurqhir uhqryqrF hxruhAir qrUqrshyyvu r@urhrhtrryyuhuhir v irwhu
Im konkreten Fall hatte eine Versicherung der Witwe die Herausgabe einer Kopie des ärztlichen Zeugnisses verweigert, welches das behandelnde Krankenhaus über den Todesfall ihres Mannes angefertigt hatte. Als Begründung wurde angegeben, ohne Vollmacht des Arztes dürften keine medizinischen Unterlagen an Dritte weiter- gegeben werden. Die von der Witwe diesbezüglich ans Bundesamt für Sozialversi- cherung gerichtete Anfrage wurde von diesem an uns weitergeleitet mit der Bitte, zur Problematik aus datenschutzrechtlicher Sicht Stellung zu nehmen.
Wir kamen zum Schluss, dass dem Begehren der Witwe stattgegeben werden kann. Zwar steht das Recht auf Auskunft gemäss Artikel 8 DSG ausschliesslich der betrof- fenen Person zu und ist nicht übertragbar, weder unter Lebenden noch durch Verfü- gung von Todes wegen. Abgesehen von Fällen, wo die betroffene Person nicht ur- teilsfähig ist und daher beispielsweise die Eltern als gesetzliche Stellvertreter das Auskunftsrecht geltend machen können, weil sie ihr Kind gegen aussen vertreten, steht das Auskunftsrecht selbst Verwandten nicht zu. Diese können höchstens ein eigenes Auskunftsrecht ausüben, wenn ein solches gegeben ist. Artikel 1 Absatz 7 VDSG verleiht nahen Verwandten von verstorbenen Personen grundsätzlich ein sol- ches Einsichtsrecht, das aber durch allfällige überwiegende Interessen von Angehö- rigen der verstorbenen Person oder von Dritten begrenzt wird. Als Dritter kommt in solchen Fällen auch der behandelnde Arzt in Frage, weshalb nicht von vornherein auszuschliessen ist, dass das Einsichtsrecht in dessen überwiegenden Interessen seine Grenze findet. Die Abwendung von allfälligen Schadenersatzansprüchen kann ein solches überwiegendes Interesse aber jedenfalls nicht begründen. In die Interessenabwägung miteinzubeziehen ist darüberhinaus der Schutz der Pri- vatsphäre der verstorbenen Person. So hat das Bundesgericht in einem Entscheid vom 26. April 1995 bestätigt, dass die Einsicht in medizinische Akten einer Verstor- benen deren Sohn nur über einen Arzt zu gewähren sei. Zur Begründung führte es insbesondere an, dass diese Vorgehensweise erlaube, einerseits dem Sohn Einsicht zu erteilen, soweit dies gerechtfertigt sei, andererseits die Vertraulichkeit der medizi- nischen Daten zu wahren. Daraus ist unter anderem zu schliessen, dass - wenn auch nahe Verwandtschaft gemäss Artikel 1 Absatz 7 VDSG ein Interesse begründet
6.8. Die Entwicklung des Systems MediData
9vrHrqv9hh6Buhvpuavrytrrqrryrx vpur9hrhhpuv purhyyrQh r vpurvr vpurBrqurvh xs qr 6ryyrqr Wr xru trq pxr Srputrq B hpur yyr trhr VI@9DA68UIhpu vpurhtrhpuqqvrBrpushivpxyt hvhyvvr r qr6qhrpu rpuyvpur Tvpurthvirr rvqvrUhhpurqh qrQh r h qvrWr vpur r qqvrGrvtr i vtr vpuhir qvrWr v pur rryiuyrQvvvv6sihrurqrTrhtrqh qr A htrqr Wr hyvpuxrvqr 9hrirvqr 5ir htt7rhputtrpurx v q
Die UN/EDIFACT-Norm ermöglicht den elektronischen Austausch von stan- dardisierten Nachrichten. Mit diesem z.B. im internationalen Handel schon in gros- sem Umfang eingesetzten Verfahren können Routineabläufe rationeller abgewickelt werden. Derartige Rationalisierungseffekte auch auf dem “Gesundheitsmarkt” zu erreichen, ist Ziel der MediData AG, deren Aktien hauptsächlich von Versicherungs- gesellschaften gehalten werden. Eine Möglichkeit, Zeit und Kosten zu sparen be- steht aber nur dort, wo ähnlich strukturierte Nachrichten mit einer bestimmten Häu- figkeit ausgetauscht werden. Daher ist der elektronische Nachrichtenaustausch auch nur zwischen Versicherern und Leistungserbringern vorgesehen. Vor allem für Nach- richten, die medizinische Daten über Patienten beinhalten, ist es datenschutzrecht- lich unbefriedigend, dass der Betroffene nicht in den Kreislauf miteinbezogen wird. Bezüglich des im Aufbau begriffenen Systems wird der EDSB insbesondere drei Punkte beobachten:
& F rqvrr
7.1. Die Datenbearbeitung bei Kreditkartenanträgen
Xr rvrF rqvxh rirh htvyyvtvqvr5ir Astrvr 6thirqvqvr 7rxhthirhirvrTryyrrv@vr7rxhthirqvrr Ds hvrh rvr r9 vrurP vrvr tqr6 htryyr r syturSrpusr vtt t q
Eine private Person gelangte wegen einer unrichtigen Angabe auf ihrer neu aus- gestellten Kreditkarte an den Eidgenössischen Datenschutzbeauftragten und er- suchte um Abklärung. In der Folge wurden der Ablauf des Antragsverfahrens, das Antragsformular und die Allgemeinen Geschäftsbedingungen der betreffenden Kre- ditkartenunternehmung einer näheren Prüfung unterzogen. Auf dem Kreditkartenantrag erhebt die betreffende Kreditkartenunternehmung fol- gende Kundendaten: Name, Vorname, Adresse, Geburtsdatum, Nationalität, Zi- vilstand, Beruf, berufliche Stellung, Einkommen, Bankverbindungen, Benützung an- derer Kreditkarten, Zahlungsmodalitäten und die Unterschrift des Gesuchstellers. Auf Zusatzkartenanträgen werden Name, Vorname, Geburtsdatum und Heimatort der Zusatzperson erhoben. Der Antragsteller bestätigt mit seiner Unterschrift die Richtigkeit der gemachten An- gaben und gestattet der Kreditkartenunternehmung, diese jederzeit zu überprüfen. Gleichzeitig stimmt er den Allgemeinen Geschäftsbedingungen zu und die Kreditkar- tenunternehmung sichert die vertrauliche Behandlung aller Angaben zu.
Die Daten werden zur Überprüfung der Personalien und der Bonität des An- tragstellers sowie für die anschliessende Geschäftsführung erhoben. Die Richtigkeit der Personalien wird anhand des elektronischen Telefonverzeichnisses geprüft. So- fern der Kunde dort nicht vermerkt ist, wird die Einwohnerkontrolle seiner Wohnge- meinde angefragt. Die Bonität des Antragstellers wird elektronisch beim Verein zur Führung einer Zentralstelle für Kreditinformation (ZEK) geprüft. Bei besonders unsi- cheren finanziellen Verhältnissen wird zudem die Vereinigung der Kartenherausge- ber der Schweiz (KARTAC) angefragt, die Informationen über die Zahlungsfähigkeit der Kunden in der Schweiz führt. Je nach Situation werden bei der Einwohnerkon- trolle, bei den Schuldbetreibungs- und Konkursämtern oder bei der Steuerbehörde zusätzliche Informationen eingeholt. Bevor weitere Dritte angefragt werden, wird mit dem Antragsteller Rücksprache genommen.
Die betreffende Kreditkartenunternehmung ist Miglied der KARTAC, welche ihrer- seits Mitglied der ZEK ist. Die Kreditkartenunternehmung gibt der KARTAC Finanz- daten der betroffenen Personen wie Betreibungen, Gründe für Kartensperrungen (beispielsweise Privatkonkurs), Zahlungsmoral und Zahlungsfähigkeit bekannt, wel- che wiederum von anderen Mitgliedern weiterverwendet werden können. Indem der Antragsteller den Allgemeinen Geschäftsbedingungen zustimmt, er- mächtigt er die Kreditkartenunternehmung, Ahyyr r s qr yvpur 6xsr 7r rvytqr Fh rirryytrvuyr9hurvr vyyvtvqvrBir vyt qr 9hrvr s qr yvpurVshtrvqvrvpuhqr6s htr yhtrqr hyytrrvt#tyvpur9xrrvWr yhsrqr Wr htq pusu tr trir qr hq puqvrF rqvxh rr rutirvr9 vrirvvryrvrar hyryyr 7r rvytqrSvvxq 6ivpxytqrWr htr=vtvq 9rar hyryyrvrhq pxyvputrhrqvrr9hrhqr rHvtyvrqr qr wrrvyvtrar hyryyrt#tyvpuhpur9vrr@vvyyvtttvyhpus r rpurqrQ strirvhqr rvvtirh htrF rqvxh rqirvxsvtr 7rryytrA Mit diesen Angaben wird der Kunde vage über die Bekanntgabe sei- ner Daten informiert, aber er weiss nicht, wer hinter den Zentralstellen und ihren Mit- gliedern steht und welche Daten bekanntgegeben werden.
Eine Verletzung der Persönlichkeit ist nicht widerrechtlich, wenn sie durch Einwilli- gung des Verletzten (betroffene Person) gerechtfertigt ist. Damit die betroffene Per- son ihre Einwilligung wirksam erteilen kann, muss sie jedoch umfassend über die Bearbeitung ihrer Personendaten und den Zweck orientiert werden. Wer einen Kre-
ditkartenantrag unterzeichnet, gibt stillschweigend sein Einverständnis zur Bearbei- tung seiner Personendaten durch den Vertragspartner, auch zur Speicherung und späteren Verwendung, nicht aber zur Bekanntgabe an nicht klar bestimmte Dritte. Da der Kunde seine Einwilligung zur Bearbeitung und Überprüfung erteilt, sollten seine Angaben nicht unbestimmten Dritten zu unbekannten Zwecken bekanntgegeben und damit von anderen Unternehmungen weiterverwendet werden können, weshalb der Rechtfertigungsgrund der Einwilligung nicht erfüllt ist. Die Überprüfung und Bearbeitung der Kreditkartenanträge durch die Kreditkar- tenunternehmung selbst erfolgt in unmittelbarem Zusammenhang mit der Abwicklung eines Vertrages, womit ein überwiegendes Interesse durchaus zu bejahen und die Bearbeitung der Personendaten intern gerechtfertigt ist. Angesichts der zahlreichen Kreditkartenanträge (Massengeschäft), die vom be- treffenden Kreditunternehmen täglich geprüft werden, ist eine minimale Fehlerquote (unrichtiges Datum auf neu ausgestellter Kreditkarte) nicht vermeidbar. Da die effektiv vorgenommene Bearbeitung der Personendaten weder aus dem An- trag noch aus den Allgemeinen Geschäftsbedingungen vollständig und klar hervor- geht, sind für den Antragsteller weder der Zweck, noch die genauen Empfänger und deren weitere Bearbeitung ersichtlich. Dies bedeutet, er weiss nicht hinreichend, wo- zu er einwilligt (kein genügendes Selbstbestimmungsrecht über seine Daten) bezie- hungsweise, er kann eine Datenbearbeitung nicht verweigern. Aus diesem Grund sind der Antrag und die Allgemeinen Geschäftsbedingungen für eine Kreditkarte zu präzisieren. Jeder Antragsteller muss erkennen können, an wen seine Personenda- ten zur Prüfung bekanntgegeben werden und wozu er die Einwilligung sonst noch erteilt. Bevor der Kunde ein Vertragsverhältnis eingeht, ist ihm Gelegenheit zu ge- ben, sich umfassend über folgende Punkte zu informieren (beispielsweise in einem Merkblatt oder den Allgemeinen Geschäftsbedingungen):
In der Folge wurde die Kreditkartenunternehmung gebeten, die Anträge für Kreditkarten und/oder die Allgemeinen Geschäftsbedingungen entsprechend zu revidieren.
7.2. Auskunftserteilung bei abgelehnten Kreditkartenanträgen
Piuyvqr6yytrrvrBrpusirqvttrrvr F rqvxh rr rut ruAir hitryrurF rqvxh rh trr qrxrvrF rqrtrsAu qh6xs rputru r qr@vQhvF rqvxh rh htqr vqr 6yytrrvrBrpusirqvttrqr wrtyvpur6xshpuyvrvtAyvt
Eine Kreditkartenunternehmung muss einer Person, die Auskunft verlangt, grund- sätzlich kostenlos alle über sie in der Datensammlung vorhandenen Daten mitteilen. Zudem sind der Zweck und die Kategorien der bearbeiteten Personendaten, sowie an der Sammlung Beteiligte und die Datenempfänger anzugeben. Die schriftliche Auskunft oder der begründete Entscheid über die Beschränkung des Auskunfts- rechts muss innert dreissig Tagen seit dem Eingang des Auskunftsbegehrens erteilt
werden. Ansonsten hat der Inhaber der Datensammlung dem Gesuchsteller die Frist mitzuteilen, innerhalb derer die Auskunft erfolgen wird. Die Auskunft kann nur ver- weigert, eingeschränkt oder aufgeschoben werden, wenn ein formelles Gesetz dies vorsieht, oder wenn es wegen überwiegender Interessen eines Dritten, oder aus ü- berwiegenden eigenen Interessen erforderlich ist und die Personendaten nicht an Dritte bekanntgegeben werden. Falls der Inhaber der Datensammlung die Auskunft verweigert, einschränkt oder aufschiebt, muss er den Grund angeben. Ein Vermerk im Kreditkartenantrag oder in den Allgemeinen Geschäftsbedingungen, welcher das Auskunftsrecht ausschliesst, ist nicht gültig, da das Auskunftsrecht höchstpersönlich und unverzichtbar ist. Sofern die Auskunft verweigert wird, steht der betroffenen Person die Möglichkeit offen, gegen die Kreditkartenunternehmung eine Klage zum Schutz der Per- sönlichkeit einzureichen. Klagen zur Durchsetzung des Auskunftsrechts können am Wohnsitz des Klägers oder der Beklagten eingereicht werden.
7.3. Schutzlose Gläubiger wegen Datenschutz?
@vByivtr qr rvrTpuyqr rvrWr ypurvr uhyruhvpu irvrvsryuhsr6thirhqhqvtrTpuyqir rvitqFx h rqrqvpuhqvrTrr iru qrqr qr6 irvtrir
Ein Gläubiger hatte einen Verlustschein erhalten, dessen Inhalt ihm zweifelhaft er- schien. Darauf wollte er bei den Steuerbehörden und beim Arbeitgeber überprüfen, ob die Angaben den effektiven Verhältnissen entsprachen. Die Steuerbehörde und der Arbeitgeber beriefen sich auf den Datenschutz und erteilten keine Auskünfte. Der Gläubiger sah sich in seinen Rechten als freier Bürger beschnitten und be- schwerte sich bei uns. Verlustscheine sind öffentliche (betreibungsrechtliche) Urkunden, die volle Gültigkeit haben, solange nicht deren Unrichtigkeit nachgewiesen wird. Die Richtigkeit der An- gaben auf einem Verlustschein muss von den zuständigen Betreibungsbeamten o- der der Aufsichtsbehörde des Betreibungsamtes geprüft werden. Weder die Steuer- behörde, noch der Arbeitgeber dürfen einem Gläubiger Auskunft über die Richtigkeit beziehungsweise Unrichtigkeit der Angaben auf einem Verlustschein erteilen. Schuldbetreibungs- und Konkursregister werden vom Geltungsbereich des DSG gar nicht erfasst, da sie besonderen, strengen Regeln unterstehen. Deshalb kann nicht gesagt werden, dass die Gläubiger aufgrund datenschutzrechtlicher Bestimmungen benachteiligt werden.
' 9v rxh xrvt
8.1. Allgemeine Problematik
Dr vrqr v qir ssrrQr rvtrrvyqhvr Tr t vu r 6q rrsA Xr irrpxrqth hq Apxyvpur 6ihutrvr irv rAv hqvrr hq rvr rXr irhr vhyr uhyrXv purrvytr r hpuXrtrypurAyyrr rvqr
Bereits im ersten Tätigkeitsbericht haben wir auf die Problematik hingewiesen (S. 68 f.). Wir haben damals festgehalten, dass die Unüberschaubarkeit und Un-
kontrollierbarkeit der Datenbearbeitungen ein besonderes Problem darstellt, da es oft nicht möglich ist, den Ursprung einer Adresse zu eruieren und die bestehenden Möglichkeiten der Adresssperrung (PTT und Robinsonliste) nicht ausreichen, um die unerwünschte Zustellung von adressiertem Werbematerial zu unterbinden. Seither haben wir regelmässig Beanstandungen von Personen erhalten, die trotz Sperrung ihrer Adresse und vielfach trotz ausdrücklichem Verbot weiterer Werbesendungen an eine bestimmte Firma, weiterhin Werbematerial zugestellt erhielten. Wir haben daraufhin im Frühjahr 1995 eine Umfrage bei den Branchenverbänden gemacht. Diese Umfrage enthielt einen allgemeinen Teil zuhanden der Dachverbän- de, worin die Problematik der fehlenden Transparenz, der wirksamen Adresssper- rung, des Verstosses gegen allgemeine Grundsätze der Datenbearbeitung (insbe- sondere gegen den Zweckbindungsgrundsatz) und schliesslich das besondere Prob- lem der Telefon- und Faxwerbung angesprochen wurde. Zu jedem Problemkreis wurden Lösungsvorschläge präsentiert und die Dachverbände gebeten, dazu Stel- lung zu beziehen. In einem besonderen Teil zuhanden der Firmen, die Direktmarke- ting betreiben, wurden Angaben zum Tätigkeitsbereich, zu den bearbeiteten Perso- nendaten, zur Bearbeitungsweise, zu den Rechten der betroffenen Personen und zur internen Organisation (Verantwortung für Datenbearbeitung, getroffene Sicherheits- massnahmen usw.) erbeten. Dieser Teil konnte auch anonym ausgefüllt werden.
Leider erhielten wir nur wenige Antworten auf unsere Umfrage. Verschiedene Dach- verbände unter Federführung der Schweizer Werbewirtschaft verlangten eine Be- sprechung mit uns und sistierten bis dahin die Beantwortung der Umfrage durch ihre Mitglieder. An der Besprechung, die am 18. Oktober 1995 stattfand, waren der Schweizerische Verband für Direktmarketing, der Verband des Schweizerischen Versandhandels und die Schweizer Werbewirtschaft vertreten. Sie teilten uns mit, dass die Branche bereits einen hohen Grad an Selbstregulierung mittels verschiede- ner Ehrenkodices habe und sehe sich nicht veranlasst, im Bereich Datenschutz spe- zifisch tätig zu werden. Aufgrund dieser mangelnden Unterstützung durch die Dachverbände haben wir die für uns dringend notwendigen Informationen über die Datenbearbeitungen der Di- rektmarketingsfirmen nicht erhalten. Wir haben deshalb beschlossen, im Verlaufe dieses Jahres bei mehreren Direktmarketingsfirmen aus verschiedenen Tätigkeitsbe- reichen Kontrollen durchzuführen und uns über die Datenbearbeitungen vor Ort ein Bild zu machen, um aufgrund der erhaltenen Kenntnisse eine Beurteilung aus da- tenschutzrechtlicher Sicht zu jedem Problembereich zu erstellen.
8.2. Weitergabe von Sternchen in privaten Abonnentenverzeichnissen
Qr rqvrxrvrXr irrqtrr uhyrApurxrirvqrQUUvu r 6q rrqr Ahr sA Xr irrpxrr ryhrTvrr purvqhv UryrsipuvrvrTr 9vrQUUqA srypur6q rr Cr ryyt v hr 6irrr rvpuvrrvr trir9hirvv qqvrTr tvpuvr Air rh@ uhyhuy rvpur Xr irhpu vsrsAu rxh
Zu dieser Problematik erhielten wir im letzten Jahr gleich mehrere Anfragen. Einer- seits erkundigte sich ein Adressbearbeiter, unter welchen Voraussetzungen er Ad- ressen aus Telefonbüchern, regionalen Verzeichnissen oder elektronischen Ver- zeichnissen zu kommerziellen Zwecken verwenden dürfe. Andererseits beschwerten sich verschiedene Personen darüber, dass sie trotz Sperrung der Adresse oder Fax- nummer für Werbezwecke bei den PTT Werbeanschriften oder -anrufe erhielten.
Schliesslich machte uns ein kantonaler Datenschutzbeauftragter darauf aufmerk- sam, dass verschiedene elektronische Verzeichnisse auf Datenträger die Sperrun- gen nicht übernähmen. Die Verordnung über die Fernmeldedienste sieht vor, dass Daten von Abonnenten, die keine Werbung wünschen, nur zur Herstellung privater Abonnentenverzeichnisse weitergegeben werden dürfen. Die PTT haben die Bedingungen für die Weitergabe festzulegen und dabei die Vorschriften über den Datenschutz zu beachten. Der Ver- kauf von PTT-Kundenadressen an Dritte ist in einer dienstlichen Weisung geregelt. Diese sieht vor, dass die Weitergabe von Daten zur Herstellung privater Abonnen- tenverzeichnisse auch dann erlaubt ist, wenn der Kunde keine Werbung wünscht und "die Adresse zur Weitergabe gesperrt hat". Für den Verkauf gesperrt sind die Adressen von Telefon- und Telefax-Abonnenten, welche die Weitergabe ihrer Ad- resse untersagten. Diese Adressen werden jedoch zur Herstellung privater, lokaler Telefonverzeichnisse und von CD-ROMs geliefert. In den gedruckten Verzeichnissen erscheint der Stern vor der Rufnummer und auf Bildschirmausgaben ab CD-ROM der Hinweis "Wünscht keine Werbung" (die Sperrmöglichkeiten existieren heute für die Verzeichnisse des Telefon- und Telefaxdienstes, aber nicht für das Videotex- und Telexverzeichnis). Ein gleichlautender Passus findet sich in den Bedingungen für die Lieferung von Adressen aus dem Bestand der Telecom-PTT Verzeichnisse, wobei präzisiert wird, dass insbesondere das Weiterverarbeiten solcher Einträge für Direct Mailings nicht statthaft ist. Handelt der Käufer diesen Lieferungsbedingungen zuwider, so kann die Telecom-PTT die Datenlieferungen unverzüglich, nötigenfalls endgültig, einstellen.
Die Generaldirektion der PTT hat uns gegenüber bestätigt, dass die PTT einen Her- steller von Abonnentenverzeichnissen, der fälschlicherweise die Sperrung für Wer- bezwecke nicht weitergibt, auf seine Pflicht hinweisen und bei weiteren Zuwider- handlungen die Adresslieferung einstellen würden. Abklärungen bei verschiedenen Herstellern von Datenträgern, die das Elektronische Telefonverzeichnis wiederge- ben, ergaben, dass die Sperrungen zwar ursprünglich nicht übernommen worden waren (in der Regel aufgrund technischer Schwierigkeiten) aber in der Folge dann berücksichtigt wurden.
( Thvvx
9.1. Volkszählung 2000
9vrW ir rvtrsA qvrWyxuyt!vqvyyrBhtr9vr6 irvrsA qvr@vsAu trvr hqr r@ uritruqrxr vr rvpuwrhsqvrQ iyrrqr rpuvpur9 pusAu ih xrvqhsqvr rpuyvpurShurirqvt trqvrrvrWyxuytvrySrtvr vqv rxr@ uritr yhirA qrD qr avpurrvuhqvrBrpus AstxvvqrIhvhy hrqr7 qr hirhs htrrGtrsA qvr@ uritruqrqr Wyxuyt Asr
Wir haben schon im zweiten Tätigkeitsbericht (S. 42) dargelegt unter welchen daten- schutzrechtlichen Rahmenbedingungen die Erhebungsmethode der Volkszählung geändert werden kann. Eine Volkszählung mittels Registern (indirekte Erhebung) ist einer Erhebung mittels
Fragebogen (direkte Erhebung) aus verschiedenen Gründen vorzuziehen. Die Hauptgründe sind:
In diesem Sinn hat die Geschäftsprüfungskommission des Nationalrates den Bun- desrat beauftragt, zwei Aspekte zu prüfen:
9vrWr rvshputqr Wyx#uyt! Im Rahmen der heutigen Möglichkeiten soll eine vereinfachte und kostengünstigere Erhebungsmethode angewendet werden. Um diese Zielsetzung zu unterstützen, ist auch die Harmonisierung der verwaltungstechnischen Datenregister von Bund, Kan- tonen und Gemeinden zwecks statistischer Ziele zu prüfen. Dazu sollen auch die Massnahmen zur Förderung der Zusammenarbeit von Bund, Kantonen und Ge- meinden im Bereich der Harmonisierung der regionalen Datenregister geprüft wer- den.
9vrIrh vputqr Wyx#uyt! Damit die Volkszählungsdaten mittels Register erhoben werden können (Registerer- hebung), soll der Bundesrat die notwendigen verfassungsmässigen und gesetzlichen Grundlagen schaffen, welche auch die Harmonisierung der Register der Kantone und Gemeinden ermöglichen.
Wie wir schon im zweiten Tätigkeitsbericht erwähnt haben, ist eine Revision der Er- hebung der Volkszählungsdaten durchaus positiv zu bewerten. In diesem Zu- sammenhang muss der Zweckbindungsgrundsatz des Datenschutz- und des Sta- tistikgesetzes respektiert werden. Das heisst, dass Personendaten grundsätzlich nur für den ursprünglichen Erhebungszweck verwendet werden dürfen. Das Volkszäh- lungsgesetz schliesst sogar jede nichtstatistische Verwendung der Volkszählungsda- ten aus.
Wir sind nach wie vor der Auffassung, dass Daten, die für statistische Zwecke (Volkszählungsdaten) erhoben wurden, nicht gleichzeitig oder nachträglich für Ver- waltungszwecke verwendet werden dürfen. Auch die Daten einer registergestützten Erhebung sollen nur für statistische Zwecke verwendet werden. Das Bundesstatistik- gesetz sieht zwar eine Bestimmung vor, welche die Verwendung von Personenda- ten, die ursprünglich für statistische Zwecke erhoben wurden, zu anderen Zwecken erlaubt. Diese ist jedoch nur für Ausnahmefälle gedacht und bedarf einer formellen gesetzlichen Grundlage. Im Gegensatz zum schweizerischen Bundesstatistikgesetz verbietet die europäische Gesetzgebung (Europäische Union und Europarat) jede nichtstatistische Verwen- dung von Personendaten, die ursprünglich zu statistischen Zwecken erhoben wur- den.
(! 9r 6sihtrhpurvr vpur9hrirh irvtrr
9r 6sihr hyr9hrirh irvtrrrypurQr rqhrAir
qvrtrhrTpurvr 7ryxr tsA hvvpurarpxrirh irvrxhhqr Tvpuqr9hrpur iyrhvpur qr
Die Aufgaben der amtlichen Statistik sind in der heutigen Zeit von grosser Be- deutung, insbesondere weil mittels statistischer Informationen die Öffentlichkeit auf- geklärt wird, die Betriebe ihre Unternehmenspolitik planen, der Staat Entscheide trifft und Ziele definiert. Damit gesamtschweizerische statistische Werte erzielt werden können, müssen Personendaten der gesamten Bevölkerung erfasst und bearbeitet werden. Die Bearbeitung einer grossen Menge von Daten ist effizienter, wenn die Daten über zentrale Register verwaltet werden. Die für die Statistik notwendigen Personendaten werden entweder direkt in der Be- völkerung oder indirekt über Register der kantonalen Verwaltungen und der Bundes- verwaltung erhoben. Für die Verwaltung oder Auswertung der erhobenen Daten, und um zeitraubende kostspielige periodische Erhebungen zu verringern, können soge- nannte Hilfsdatensammlungen eingesetzt werden. Hilfsdatensammlungen beinhalten Merkmale oder Daten, welche verschiedene andere Datensammlungen miteinander verknüpfen können. In einigen Fällen sind diese Merkmale Personendaten (Adresse, Wohnort usw.) oder können die Identifikation von Personen ermöglichen. Aus der Sicht des Datenschutzes sind solche Datensammlungen nicht problematisch, soweit sie ausschliesslich statistischen Zwecken (Kombination von Resultaten, Erleichte- rung von Erhebungen) dienen.
Bis vor einiger Zeit war die Erstellung von zentralen Registern (sei es für ad- ministrative oder statistische Zwecke) wegen der föderalistischen Struktur der Schweiz nicht einfach. Die Kantone führen eigene, ihren Bedürfnissen angepasste Register und gleichzeitig haben die zuständigen Bundesbehörden Register, welche Daten auf gesamtschweizerische Ebene bearbeiten. Damit die Koordination zwi- schen kantonalen und Bundesaufgaben an Effizienz gewinnt und vor allem, um die Kosten von Datenbearbeitungen zu senken, wird die Erstellung von zentralen ge- samtschweizerischen Registern bevorzugt und gefördert. Unabhängig von den be- stehenden rechtlichen Problemen, die dem Aufbau und der gemeinsamen Erstellung von zentralen Registern im Wege stehen, hat die zentrale Datenbearbeitung aus der Sicht des Datenschutzes sowohl Vorteile als auch Nachteile.
Vor allem wegen der Effizienzsteigerung und der Kostensenkung ist die Führung von zentralen Datenbearbeitungssystemen vorteilhaft. Diese Art der Bearbeitung birgt aber Gefahren, die unter bestimmten Umständen das Risiko einer Persönlichkeits- verletzung erhöhen. Die zentrale Datenbearbeitung erhöht aus organisatorischer Sicht die Gefahr, dass die Daten unrechtmässig bearbeitet werden. Hinzu kommt, dass die betroffenen Personen die Übersicht über die unzähligen Datenbearbeitun- gen, die mit ihren Daten gemacht werden, schlicht verlieren. So gesehen gewährleis- ten lokale kleinere Systeme eine bessere Übersicht und sind kleineren Gefahren ausgesetzt.
Wir sind nicht gegen die Schaffung zentraler Datenbearbeitungssysteme. Grundsätz- lich teilen wir die Auffassung anderer Behörden der Kantone und des Bundes, dass die effiziente und kostengünstige zentrale Datenbearbeitung von Personendaten notwendig ist. Sie soll aber für den Einzelnen übersichtlich und transparent gestaltet werden. Das heisst, der Bürger soll jederzeit wissen, von welchen Behörden und für welche Zwecke seine Daten bearbeitet werden. Insbesondere dürfen Personendaten oder Datensammlungen, die ausschliesslich für statistische Zwecke erhoben oder erstellt wurden, nicht für Verwaltungszwecke ver-
wendet werden. Die Effizienz- und Kostenfrage darf nicht als Argument für eine Zweckentfremdung dienen.
Wir werden diese Entwicklung aufmerksam verfolgen müssen, weil die Ver- gangenheit gezeigt hat, dass zentrale Register, die ursprünglich für statistische Zwe- cke erstellt wurden, schon nach wenigen Jahren für Kontroll- und Verwal- tungsaufgaben verwendet werden.
9.3. Kriterien für die Anonymisierung von Personendaten ?
DyrrBrpuswhu qrv ru hyhstrs qr 7rt vssqr h r9hrr Hhvssrih hqhrvrtrr ryyrSrtryrv vr qvrsA hyyrAyyrqr 6vvr tQr rqhrhtrrqrr qr xh9vrHr xhyrrypurqvrDqrvsvxhvrvr Qr r tyvpurvqwrqpu vpuhipuyvrrqqrsvvr r9ruhyiArqvrF vr vrqr 6vvr t Qr rqhrsA wrqr@vryshyyirqr qrsvvr r qr
Personendaten gelten als anonymisiert, wenn diejenigen Daten entfernt werden, welche die Identifizierung der betroffenen Person ermöglichen. Wird der Bezug von Daten zu einer bestimmten Person aufgehoben, verlieren sie den Charakter von Personendaten. Welche Identifikationsmerkmale im Einzelfall entfernt werden müs- sen, um die Bestimmbarkeit des Betroffenen auszuschliessen, hängt jeweils vom Einzelfall ab. Häufig genügt die Löschung von Name und Adresse. Falls aber beson- dere Merkmale die Identifizierung des Betroffenen ermöglichen, gelten die betreffen- den Daten nicht als anonymisiert. Um eine Anonymisierung derartiger Datenbestän- de zu gewährleisten, ist es unabdingbar, zusätzliche Massnahmen zu treffen (bei- spielsweise spezielle Merkmale zusätzlich zu verschlüsseln oder zu verallgemei- nern). Gemäss Botschaft vom 23. März 1988 zum Bundesgesetz über den Daten- schutz wird unter Anonymisierung jede Massnahme verstanden, die bewirkt, dass die Identität der betroffenen Personen nicht mehr oder nur noch mit ausserordentli- chem Aufwand festgestellt werden kann (faktische Anonymisierung). Nötig ist ein Aufwand, den vernünftigerweise niemand auf sich nehmen wird, um die Identität be- stimmter Personen festzustellen. Ob ein Datenbestand als «anonymisiert» bezeich- net werden kann, lässt sich nicht abstrakt, sondern nur konkret feststellen, da dies von den übrigen Rahmenbedingungen abhängig ist.
Hvr rpu
Anmeldeformulare für Mietwohnungen
9vr@sruytir rssrqqrirvDr rrrsA Hvrutrr uirr9h r qrr puvrqrrWr vrr hitryruXv uhirqvr6tryrtrurvqr @vqtrvpur9hrpuxvv@purvq tryrt
Bereits im 1. und 2. Tätigkeitsbericht wiesen wir auf die Problematik hin (S. 61 ff. und 60 ff.). Im November 1994 formulierten wir eine Empfehlung zuhanden aller Vermie- ter in der Schweiz. Die Empfehlung wurde den Vermietern, welche bereits am vor- hergehenden Vernehmlassungsverfahren teilgenommen hatten, zugestellt und gleichzeitig im Bundesblatt publiziert. In der Folge lehnten verschiedene Vermieter
die Empfehlung ab. Wir legten daraufhin im Februar 1995 die Angelegenheit der Eidgenössischen Datenschutzkommission zum Entscheid vor. Nach einem Schrif- tenwechsel mit unserer Stelle über die Frage der Parteiqualität der Personen, welche die Empfehlung abgelehnt hatten, entschied die Eidgenössischen Datenschutzkom- mission im Dezember 1995, sie trete nur auf den Weiterzug gegenüber einer Partei, einem der grössten Vermieter in der Schweiz, ein. Demnächst sollte nun der mate- rielle Entscheid ergehen.
DD 9D@FPIUSPGG@I9@T@9T7
9vrrrDqrvxh rD9($
9vrrrpurvr vpurDqrvxh rrvyhvsvvr r 6rvvF rqvxh r s hvrvqr Eyv ((#r uyyvpu@vrWr qtqr7qr hr rtry vu r6ryytqyrthr qr vxr7rqvttrhqvrqhvhr utrqr7rh irvtQr rqhrsrXv uhirirpuyrqvr@vuhy tqvrr 6s qr trv7r rvpuqr9hrpurx yyvr r9vrF yyrirthvPxir (($qv qtrtr vtv7qrhsA Qyvrvrr q putrsAu
Die Verordnung des Bundesrates über die neue schweizerische Identitätskarte “ID 95” ist am 1. Juli 1994 in Kraft getreten. Diese Verordnung regelt nicht nur das Ver- fahren für die Ausstellung des neuen plastifizierten Ausweises im Kreditkartenformat, sondern legt auch sehr genau die Bedingungen für die Bearbeitung der Personenda- ten fest, welche zu diesem Zweck beschafft werden. Im weiteren enthält sie auf un- ser Ersuchen hin zahlreiche restriktive Bestimmungen im Bereich des Datenschut- zes.
Im Rahmen unserer Überwachungskompetenzen haben wir beschlossen, eine Kon- trolle der Einhaltung dieser Bedingungen durchzuführen. Zu diesem Zweck haben wir mit der Sektion Verwaltungspolizei des Bundesamtes für Polizeiwesen Kontakt aufgenommen, welche für die Datenbank im Zusammenhang mit der neuen Identi- tätskarte verantwortlich ist.
Die Kontrolle begann im Oktober 1995 und ist gegenwärtig noch im Gange. Sie be- zieht sich insbesondere auf den Inhalt und den isolierten Charakter der vom Bun- desamt für Polizeiwesen verwalteten Datenbank, auf die Zugriffsberechtigungen zu diesem System, auf die Datenerfassung, auf die Weitergabe der Daten an den Kar- tenhersteller und an das Bundesamt für Polizeiwesen, auf die Datenbearbeitung, auf die Löschung der Daten nach Ablauf der Aufbewahrungsdauer, auf die Verwendung des maschinenlesbaren Codes sowie auf die Informationen, die auf der Identitätskar- te selbst enthalten sind.
! 9hDs hvrqrTpurvr vpurDvsA 7r sqh ttvx
9hTpurvr vpurDvsA 7r shivyqtsAu rv9hrirh irvtr rypurqvrF hqvv hvqvrB qhivyqtqqvrP thvhvTrv h rqFyyvrsA 7r syru r r hyrXv uhirqvrrTrx y yvr AsriqvrrqvtrHhhur qhrpuxs r9h rirh irvtqqvrrqvtr9hrvpur urvhhurtr ssr qr
Das Bundesgesetz über die Berufsbildung und die Verordnung über das Schweizeri- sche Institut für Berufspädagogik sind die Rechtsgrundlagen, welche die Führung einer EDV-Applikation zur rationellen Verwaltung der Berufsbildung erlauben. Im System werden Personendaten von etwa fünftausend Personen (Kursteilnehmer, Dozenten, Referenten, Absolventen, Lehrer) erfasst. Die verschiedenen Datenbear- beitungen werden hauptsächlich zur optimalen Abwicklung der fortlaufenden Aus- und Weiterbildung von haupt- und nebenamtlichen Berufslehrern eingesetzt.
Wir haben die verschiedenen Arbeitsabläufe des Systems, die verschiedenen Da- tenbearbeitungsmöglichkeiten (Archivierung, Bekanntgabe usw.) und die Datensi- cherheitsmassnahmen für den Zugang und den Zugriff zu den Daten kontrolliert. Dabei haben wir festgestellt, dass keine widerrechtlichen Datenbearbeitungen zu beanstanden sind und die Massnahmen zur Gewährleistung der Datensicherheit ausreichend sind.
" 9hrhytAir E hyvrvar h
WQ rr hqrTpurvr Wr ihqrqr E hyvvrqE hyvr qrv qh hshsr xhtrhpuqhvar hrvrE hyvrxh rvtrsAu v qquhirqvrrqvtr6ixy trtrrXv uhirtr Asi qvrr rpurqr9hrirh irvtrqvrQr yvpuxrvrvr t r r6huy Qr rtrsu qrxrqiqvr9hrhyt rtv vr r qr Xv vqTpuytrxrqhqvr9hrhytqvr7rvtrqr 7qrtrrrAir qr9hrpuvpur yr9vr@vrrvr puh r Gvrxrvpusrtrryyr qr
Der Kur- und Verkehrsverein der Gemeinde Zermatt führt eine Datenbank, in der Daten über ungefähr 4'500 Journalisten gespeichert sind. Der Zweck dieser Daten- sammlung besteht in der Optimierung der Kontakte mit den Medien. Die Datenbank ermöglicht die Speicherung der folgenden Daten: “Name”, “Vorname”, “Adresse”, “Geburtsdatum” (nicht verwendet), “Staatszugehörigkeit”, “Spezialgebiet”, “Art der journalistischen Tätigkeit” (TV, Radio, Printmedien...), “Status des Journalisten” (frei- er Journalist, Redaktor, ...), “Datum des Aufenthalts in Zermatt”, “War er in Beglei- tung und falls ja, von wem?”, “Welcher Mitarbeiter des Verkehrsbüros hat ihn be- treut?”, “Welche Unterstützung erhielt er während seines Aufenthalts?”, “Wurde er zum Essen eingeladen?”, “Wo und welches Menü hat er gegessen?”, “Hat er eine Freikarte erhalten?”, “Hat er ein Geschenk erhalten?”, “Wer hat das Hotelzimmer reserviert?” und “Wer hat die Rechnung bezahlt?”, “Hat er über Zermatt geschrie- ben?”, “War der Artikel positiv für Zermatt?", “Wurde ihm gedankt?”, “Welche Infor- mationen hat er verlangt?” und “Welche Unterlagen wurden ihm überreicht?”. Diese Informationen beziehen sich ausschliesslich auf die journalistische Tätigkeit während des Aufenthalts in Zermatt und betreffen das Privatleben des Journalisten nicht. Die
Daten über das Restaurant und das Menü werden nur erhoben, um zu vermeiden, dass ein Journalist zweimal in das gleiche Restaurant eingeladen wird oder dass ihm zweimal das gleiche Menü angeboten wird. Dasselbe gilt für allfällige kleine Ge- schenke, die das Verkehrsbüro hin und wieder an Besucher verteilt. Die Informatio- nen über die Reservation des Hotelzimmers, über die Bezahlung der Rechnung oder eine allfällige Begleitung während des Aufenthalts in Zermatt sind rein administrati- ver Natur (Logistik, Buchhaltung). Jeder Artikel und jede Reportage kann vom Ver- kehrsbüro mit einer Note zwischen 1 und 5 bewertet werden (ausgezeichnet, gut, durchschnittlich, Zermatt nicht erwähnt, für Zermatt wertlos). Diese Noten beziehen sich weder auf die Qualität des Artikels oder der Reportage noch sind sie Ausdruck eines positiven oder negativen Urteils. Sie sind lediglich ein Gradmesser für die Auswirkungen, die ein Artikel für das Tourismuszentrum Zermatt hat, und stellen kei- ne Qualifizierung des Journalisten als Person dar.
Die gespeicherten Daten werden nicht bekanntgegeben, und das Einsichtsrecht der betroffenen Journalisten ist gewährleistet.
Soweit die allgemeinen Grundsätze für die Bearbeitung von Personendaten ein- gehalten werden, kann das Verkehrsbüro Rechtfertigungsgründe für die Bearbeitung von Daten über jene Journalisten geltend machen, die mit ihm Kontakt pflegen. Ge- stützt auf unsere Wahrnehmungen und die Informationen, die uns zur Verfügung stehen, haben wir festgestellt, dass die Beschaffung und Bearbeitung der entspre- chenden Daten rechtmässig ist, da die Umstände der Datenbearbeitung dem verfolg- ten Zweck entsprechen und die betroffenen Journalisten Kenntnis von der Datenbe- arbeitung haben.
Aus diesen Gründen sind wir zum Schluss gekommen, dass die Journalistenda- tensammlung des Verkehrsbüros Zermatt das Bundesgesetz über den Datenschutz nicht verletzt und dass die Datensammlung nicht zur Registrierung angemeldet wer- den muss. Wir haben dem Verkehrsbüro Zermatt jedoch empfohlen, auf die Richtig- keit und Aktualität der gespeicherten Daten zu achten, namentlich indem die Journa- listendaten spätestens fünf Jahre nach ihrem letzten Kontakt mit Zermatt gelöscht werden. Dem Verkehrsbüro wurde ausserdem nahegelegt, die Journalisten aus- drücklich über die Existenz der Datensammlungund ihr Auskunftsrecht zu informie- ren.
9vr5ir hputqr t ArB rrvCvysrWvqrtr rv qq purvrWr qtqr7qr hrtr rtry9vrWvqr6shurvqrqvtsA qvrTv pur tqr B rrqvr@ uritayytriAu rvrsA qvr5ir hputqr B rAir v9vr6shurArvr uhyi!#Tqrtrypur qr Xv uhirrvrF yyrrvr WvqrDhyyhvhqr B rr trr
Ende 1991 wurden an dem von uns kontrollierten Grenzposten zwei Videokameras installiert. Diese Kameras ermöglichen die Überwachung von zwei Brücken, die Tag und Nacht zu Fuss oder mit dem Fahrrad überquert werden können. Der Grenzüber- gang ist zulässig, sofern die betroffenen Personen einen gültigen Identitätsausweis auf sich tragen und nicht mehr Waren mit sich führen, als gesetzlich vorgeschrieben ist. Der Grenzübergang ist bezeichnet, insbesondere durch ein Fahrverbot. Die Ü- berwachungskameras sind versteckt, und es gibt keinen Hinweis darauf, dass die
Zone mit Videokameras überwacht wird. Die lokale Bevölkerung ist jedoch informiert. Die beiden Videokameras sind dauernd in Betrieb, filmen jedoch die beiden Grenz- übergänge nur, wenn ein Grenzgänger oder ein Tier eine der beiden Brücken über- quert. Es werden zwei verschiedene Installationen getestet. Die eine ist mit einem Videorecorder gekoppelt und ermöglicht die Aufnahme jedes Grenzübertritts auf ei- ner Videokassette. Wenn die Aufnahmekapazität der Kassette erschöpft ist, werden die Aufnahmen gelöscht, und die Kassette wird bis zur endgültigen Abnutzung wei- terverwendet. Zuletzt wird sie zerstört und durch eine neue Kassette ersetzt. Bevor die Aufnahmen gelöscht werden, können sie abgespielt werden. Dies bezieht sich in der Regel auf die Aufnahmen der letzten paar Minuten, kann aber auch maximal auf die zwei bis drei letzten Aufnahmestunden zurückgehen. Darüber hinaus ist das Ab- spielen der gemachten Aufnahmen sinnlos. Die zweite Kamera ist mit einer Festplat- te verbunden. Dieses System ermöglicht nur die Speicherung der jeweils letzten bei- den Aufnahmen, die bei einem weiteren Grenzübertritt automatisch gelöscht werden. Es ist mit beiden Systemen nicht möglich, die gemachten Aufnahmen zu drucken oder Fotos zu entwickeln. Im Grenzposten wurden zwei Überwachungsmonitoren installiert, die es den Zollbeamten ermöglichen, alle Grenzübertritte zu überwachen und gegebenenfalls einzuschreiten.
Die Videoüberwachung ist in der Verordnung über die Geländeüberwachung mit Vi- deogeräten vom 26. Oktober 1994 geregelt. Danach ist es zulässig, Videokameras zu installieren, um die Sicherung der Grenze und die Einziehung von Zollgebühren sicherzustellen und um die Grenzübertritte zu überwachen. Die Verwendung der kontrollierten Kameras entspricht diesem Zweck. Die Bezeichnung des Grenzüber- gangs auf den Brücken ist in Anbetracht der lokalen Gegebenheiten ausreichend und ermöglicht den Grenzgängern zu wissen, dass sie die Grenze überqueren und deshalb mit einer Kontrolle rechnen müssen. Was die auf 24 Stunden begrenzte Aufbewahrungsdauer der Aufnahmen anbelangt, haben wir festgestellt, dass diese gesetzliche Anforderung durch das Festplatten-System erfüllt wird, da die Aufnah- men automatisch gelöscht werden, wenn weitere Grenzübertritte erfolgen. Das Sys- tem, das mit einer Videokassette arbeitet, erfüllt diese Anforderung hingegen nicht, da die Löschung der Aufnahmen frühestens 36 Stunden nach der 1. Aufnahme er- folgt. Hinsichtlich der Arbeitseffizienz der Zollbeamten sowie unter Berücksichtigung der Anzahl aufgenommener Grenzgänger ist das System mit Videokassette jedoch vorzuziehen. Die Löschung der Aufnahmen muss jedoch innerhalb von 24 Stunden erfolgen, damit dieses System den Vorschriften im Bereich des Datenschutzes ent- spricht. In bezug auf die Datensicherheit haben wir keine besonderen Mängel fest- gestellt. D6puyhr rF yyruhirv qrayyiru= qr trpuyhtrWv qrxhrr v x r r Ghsqhr r rqr qhv qvr G=put qr 6s hurvr uhyi!#Tqrtr#u yrvrv9vrr W puyht qrhtr r
$ 6xsqvr qr UryrpQUUBrs
DEhh ((%sAu rv irv6xsqvrqr UryrpBrsrvrF yyr q puXv Asrrvr rviqr6trryyrqvrIrtqrW hrirv qr 6xsr rvyts rvtrryyv qqhqr r rviqvr9 pusAu t Wr uhyrir rvytrvry6iu tqhrpuxs v
Wir prüften zunächst, ob im Anschluss an eine dahingehende Intervention unse-
rerseits (vgl. S. 38) den Angestellten des Auskunftsdienstes die Nennung des Vor- namens tatsächlich freigestellt wird. Die befragten Angestellten sagten aus, sie fühl- ten sich frei, den Vornamen nicht zu nennen und seien froh, dass keine diesbezügli- che Pflicht mehr bestehe. Sodann untersuchten wir auch die Durchführung von Verhaltensbeurteilungen mittels unangemeldeter Abhörung durch die Vorgesetzten. Die Durchführung der Beurtei- lungen ist in einer Weisung der Generaldirektion PTT detailliert geregelt. Die Auskunfterteilung durch die Teleoperatricen wird jährlich ein- oder mehrmals wäh- rend ca. 45 Minuten von den Vorgesetzten aufgezeichnet und die Aufzeichnung da- nach mit der betroffenen Person besprochen. Dabei sollen Fehler in der Auskunfter- teilung erkannt und behoben werden, die Freundlichkeit und Schnelligkeit der Auskunfterteilung überprüft und gute Leistungen anerkannt werden. Diesen Zwecken werden die Abhörungen sowohl nach Aussagen der Teleoperatricen als auch nach Angaben der Vorgesetzten gerecht. Problematisch ist aus datenschutzrechtlicher Sicht einerseits das Fehlen einer gesetzlichen Grundlage für die Abhörungen, ande- rerseits, dass die Abhörungen unangemeldet vorgenommen werden. Von den be- fragten Teleoperatricen wird denn auch die vorgängige Ankündigung der Abhörung gewünscht. Die Kontrolle hat gezeigt, dass die Abhörung sich auf die Auskunftertei- lung beschränkt, dass also private Gespräche zwischen den Teleoperatricen nicht aufgezeichnet werden. Die Abhörungen verlaufen zudem im Grossen und Ganzen gemäss den Vorgaben in der Weisung der Generaldirektion (Auswertung der Abhö- rung zusammen mit der betroffenen Person, Ausfüllen eines Beurteilungsblattes, das bis zur nächsten Qualifikation aufbewahrt und sodann vernichtet wird, Löschung der Aufzeichnung sofort nach Beendigung der Beurteilung). Die Weisung verlangt aller- dings die Löschung im Beisein der betroffenen Person, was in Genf nicht so ge- schieht und die Information des Personals über den Zweck und die Durchführung der Arbeitsbeurteilung, was nicht immer geschieht. Wir haben der Telecom Genf al- so geraten, das Personal bei Anstellung und Schulung systematisch über Zweck, Inhalt und Durchführung der Arbeitsbeurteilung zu informieren, die Abhörung vor- gängig anzukünden und die Löschung systematisch im Beisein der betroffenen Per- son vorzunehmen. Gleichzeitig haben wir bei der Generaldirektion PTT interveniert, um zu klären, inwiefern die Schaffung einer gesetzlichen Grundlage in Hinblick auf die bevorstehende Privatisierung der Telecom notwendig und sinnvoll ist.
DDD X@DU@S@UC@H@I
9hrpu rpuyvpurShurirqvttr
1.1. Umsetzung von Anforderungen des DSG bei der Gesetzgebung
Br9TBArsA irrurqr9hrhytrvirqr puAr r rQr rqhrqr Qr yvpuxrv svyriv Eyv (('s ryytr ryvpurB qyhtrtrpuhssrqr htrhr qr6s6s htrqrBrr hy rx rh vhqr@EQ9uhirv vrvrBhpurqh tryrthsA 7rv trvrvryrr yhrr qryyr
Nach Art. 38 Abs. 3 DSG müssen Bundesorgane für bestehende Datensammlungen mit besonders schützenswerten Personendaten oder mit Persönlichkeitsprofilen bis zum 1. Juli 1998 formellgesetzliche Grundlagen schaffen. Für die Neuschaffung oder
erhebliche Erweiterung solcher Datensammlungen müssen sie die erforderlichen Rechtsgrundlagen umgehend schaffen. Die Frage, was im einzelnen wie zu regeln ist, bildete Gegenstand eines Gutachtens, das der EDSB nach Absprache mit dem Bundesamt für Justiz im Herbst 1995 erstellt hat, und welches zur Publikation in der Verwaltungspraxis der Bundesbehörden (VPB) vorgesehen ist. Insbesondere sind folgende Punkte festzuhalten:
Nachdem dieses Gutachten vorliegt, wird es in einer nächsten Phase darum gehen, die nötigen Gesetzgebungsarbeiten in die Wege zu leiten, sofern dies nicht bereits geschehen ist. Auf Anfrage und in Zusammenarbeit mit dem Bundesamt für Justiz werden wir den betroffenen Bundesorganen im Rahmen unseres gesetzlichen Auf- trages dabei beratend zur Seite stehen.
1.2. Der Entwurf zu einem Bundesgesetz über Waffen, Waffenzubehör und Muni- tion
Xv qrvGhsqr 6h irvtqvrrBrrrr sru hyrvr Tryythurr puquhirvr vrqr qh hsuvtrvrrqhsA qvr huy rvpur7rh irvtrQr rqhrqvrvpuhqr 6rqtqvrr Brrrr trirr qrrvrtrhr rSrtrythstrryyr qr9h 7qrhsA QyvrvrruhrrvrWvryhuy7rvtrvqr@ s hstrrqvrrvr9ryrthvFrrrhqr7qr h hur@
sytrpuyvryvpur rW puyhthpurvryysA qvr9hrirh irvtrvr Frrqryrthv rur
Wir haben im Rahmen des Vernehmlassungsverfahrens zum Entwurf für ein Bun- desgesetz über Waffen, Waffenzubehör und Munition im Mai 1995 auf die umfang- reichen Datenbearbeitungen hingewiesen, welche sich für die verschiedenen Betei- ligten ergeben werden. Wir haben insbesondere verlangt, dass in den Gesetzesent- wurf Präzisierungen in bezug auf die Beschaffung von Informationen aufgrund der Verpflichtung zur Überprüfung der Identität, in bezug auf die Führung einer Buchhal- tung und in bezug auf die Gewährung von Bewilligungen aufgenommen werden. Ausserdem haben wir gefordert, dass für die zahlreichen Datenbekanntgaben und Datenaustausche, die zwischen den privaten Verkäufern und den zuständigen kan- tonalen und Bundesbehörden sowie den entsprechenden ausländischen Stellen vor- gesehen sind, klare Bestimmungen erarbeitet werden.
Aus der Veröffentlichung der Ergebnisse dieses Vernehmlassungsverfahrens im September 1995 ging hervor, dass die Stellungnahmen der betroffenen Ämter - ins- besondere unsere Anmerkungen - berücksichtigt worden sind. Als wir jedoch im No- vember 1995 erneut um eine Stellungnahme zum überarbeiteten Gesetzesentwurf und seinem Botschaftsentwurf ersucht wurden, stellten wir fest, dass unsere Bemer- kungen und Vorschläge zur Beschaffung, Bekanntgabe und Bearbeitung von Daten nur am Rande oder gar nicht berücksichtigt worden waren. Zudem enthält der neue Gesetzesentwurf zwar zahlreiche Bestimmungen, die eine Delegation von Kompe- tenzen an den Bundesrat vorsehen, davon betrifft jedoch keine unzweideutig den Datenschutz.
In unserer Stellungnahme zu diesem neuen Entwurf nahmen wir davon Kenntnis, dass keine Bekanntgabe von besonders schützenswerten Daten oder Persön- lichkeitsprofilen durch ein Abrufverfahren (on-line-Verbindung) vorgesehen ist. Wir haben in Erinnerung gerufen, dass jede Bekanntgabe von Personendaten mit Hilfe eines Abrufverfahrens gegebenenfalls ausdrücklich in der Ausführungsverordnung aufgeführt sein muss. Überdies haben wir in bezug auf die Bearbeitung von Perso- nendaten festgehalten, dass die Delegation der Kompetenzen an den Bundesrat aus dem vorliegenden Gesetzesentwurf nicht deutlich genug hervorgeht. Wir haben da- her verlangt, dass eine allgemeine Bestimmung über die Delegation von Kompeten- zen im Bereich des Datenschutzes in den Gesetzesentwurf aufgenommen wird. In dieser Bestimmung ist vorzusehen, dass der Bundesrat die Modalitäten von Daten- bearbeitungen im Zusammenhang mit der Anwendung des Gesetzes sowie die Ge- währung von Zugriffsberechtigungen und die Aufbewahrungsdauer auf dem Verord- nungsweg regelt. Unserem Vorschlag folgend hat das Bundesamt für Polizeiwesen die verlangte Norm über die Kompetenzdelegation erarbeitet und in die Endfassung des Gesetzesentwurfs einfliessen lassen. Dieser wurde im Januar 1996 vom Bun- desrat verabschiedet und dem Parlament zur Beratung vorgelegt.
1.3. Vorentwurf für ein Bundesgesetz über die medizinisch unterstützte Fort- pflanzung und eine nationale Ethikkommission - Vernehmlassung bei den be- troffenen Kreisen
Im Rahmen des Vernehmlassungsverfahrens bei den betroffenen Kreisen haben wir dem Bundesamt für Justiz eine erste Stellungnahme unterbreitet. Wir betonten ins- besondere die Notwendigkeit, die Einwilligungsverfahren im Zusammenhang mit der
medizinisch unterstützten Fortpflanzung für die zukünftigen Eltern zu erleichtern. Wir haben sodann Zweifel angemeldet, ob es sowohl aus wissenschaftlicher Sicht als auch hinsichtlich des Wohls des werdenden Kindes, sinnvoll ist, die Möglichkeit einer Selektion des Spenderspermas aufgrund der körperlichen Ähnlichkeit des Spenders mit dem zukünftigen Vater vorzusehen. Wir haben auch die Auffassung vertreten, dass Informationen über den Zivilstand, die Religionszugehörigkeit, den Beruf und die Ausbildung des Spenders einem Kind, das seine biologische Herkunft abklären möchte, unserer Ansicht nach nicht bekannt sein müssen. Abschliessend haben wir darauf hingewiesen, dass die vorgesehene Aufbewahrungsdauer der Daten von 80 Jahren zu lange ist.
! 7rxhthirQr rqhr
2.1. Die Bekanntgabe von Personendaten an Dritte im Sinne von Art. 11 Abs. 3 DSG
Q vhrQr rqvrQr rqhrh9 vrirxhtrirArqvrir rssrqr 9hrhytirv@vqtrvpur9hrpuirhs htrhryqrrsA qh7rh irvrxrvrtrryvpurQsyvpuirruqr qvrir ssrrQr rqh xrvrFrvuhirD@vryshyyAir Asr qriqr @str qr 9h rhy9 vr vTvr6 6i"9TBtvy
Eine private Person erkundigte sich, ob Kundendaten, die sie durch eine Druckerei im Auftrag bearbeiten lässt, bei uns angemeldet werden müssten. Diese Frage kann nicht generell beantwortet werden, da es für die Beantwortung der Frage, ob eine Datenbekanntgabe an Dritte im Sinne von Art. 11 Abs. 3 DSG vorliegt, im Einzelfall darauf ankommt, welche Personendaten unter welchen Umständen bekanntgeben werden. Als Bekanntgabe ist das Zugänglichmachen von Personendaten wie die Gewährung der Einsicht, die Weitergabe oder die Veröffentlichung zu verstehen. Dabei gilt es insbesondere zu prüfen:
XrrvDuhir rvr 9hrhytirvvryrvrrvr9 pxr rvirhs ht A yh rs qvr@ rvytahuyths #trq pxrr qrqr 9 pxr rv Qr rqhrirxhtrtrir. In diesem Fall erhält die Druckerei die Kundenda- ten jedoch nur für eine technische Bearbeitung und darf die Daten nur auftragsge- mäss bearbeiten. Nach dem Drucken der Zahlungsaufträge ist die Bearbeitung der Personendaten durch die Druckerei abgeschlossen, weshalb sie dem Auftraggeber vollumfänglich zurückgegeben werden. Die Bekanntgabe der Daten dient in diesem Zusammenhang lediglich als Mittel zum Zweck, damit der Auftraggeber seine weite- ren Aufgaben erfüllen kann. Damit ist die Druckerei nur Empfängerin der Personen-
daten, aber nicht Dritte im Sinne von Art. 11 Abs. 3 DSG, weshalb die Sammlung bei uns nicht angemeldet werden muss.
2.2. Bekanntgabe von Daten über ausländische Stipendienbezüger
9vrTpuhsstrvr 9hrihxq purvr7qrryyrarpxrqr 7rxhth irqWr ssryvput9hrAir hyqvpurTvrqvrirAtr hs rvr h rvpurqrtrryvpurB qyhtrir urhsqvrvqr Wr ssryv putqr 9hrirhivpuvtrarpxrirpu xiyrvirqqhSrpuqr ir s srrQr rir ApxvpuvtrqvrWr ssryvputqr 7rxhthirr rv tr
Was die Gewährung von Stipendien an ausländische Studenten und Künstler anbe- langt, haben wir betont, dass eine Bundesstelle diesbezügliche Daten nur im Einzel- fall auf ein Gesuch hin bekanntgeben darf, solange keine gesetzliche Grundlage be- steht, welche die Schaffung und die Verwaltung einer Datenbank vorsieht, auf die Dritte Zugriff haben und die Bekanntgabe nicht gesetzlich geregelt ist. Zudem bedarf es der Zustimmung der betroffenen Person, es sei denn, dass nur der Name, der Vorname, die Adresse sowie das Geburtsdatum der betroffenen Person mitgeteilt werden. Eine Bekanntgabe der entsprechenden Daten ist auch möglich, wenn die betroffene Person selbst ihre Daten jedermann zugänglich gemacht hat.
Für die systematische und regelmässige Bekanntgabe von Daten, in Form von Lis- ten, durch die Veröffentlichung von Broschüren oder durch ein Abrufverfahren (Onli- ne-Zugang) muss zuerst eine ausreichende gesetzliche Grundlage geschaffen wer- den. Wenn der Zugriff zu den Daten über ein Abrufverfahren erfolgen soll, muss dies in einer gesetzlichen Grundlage ausdrücklich so vorgesehen sein. Die Bekanntgabe von Daten über Stipendienbezüger muss sodann freiwillig sein. Jeder Stipendienbe- züger muss die Möglichkeit haben, die Aufnahme seiner Daten oder ihre Bekanntga- be zu untersagen. Schliesslich dürfen nur jene Daten jedermann zugänglich gemacht werden, die zur Erreichung des mit der Veröffentlichung oder der Verbreitung ver- folgten Zwecks erforderlich sind.
2.3. Amtshilfe durch die Bekanntgabe von Listen in den Bereichen Subventions-, Steuer- und Umweltschutzrecht
7qr thrqA srQr rqhrirpuhssts rqrarpxrvryGv r irxhtrirrqhsA Srput qyhtrirrurDrvr i rv rrAyyrh rqvrrW hrtrvpur sAyyruhyiv qrirhivpuvt r9hrirxhthirvpuvrxr
In zwei Gutachten haben wir uns zur amtshilfeweisen Bekanntgabe umfangreicher Listen mit Personendaten geäussert. Im ersten Fall ersuchte die Eidgenössische Steuerverwaltung das Bundesamt für Landwirtschaft um die Bekanntgabe sämtlicher Empfänger von Betriebsstillegungsbeiträgen. Im zweiten Fall bat eine ausländische Handelskammer die Interdisziplinäre Schweizerische Kommission für biologische Sicherheit in Forschung und Technik um die Bekanntgabe der gemäss Störfallver- ordnung gemeldeten genforschenden Betriebe.
Weder das Landwirtschaftsrecht, noch das Steuerrecht oder das Umweltschutzrecht
sehen die anbegehrten umfangreichen Datenbekanntgaben zu beschaf- fungsfremden Zwecken an Drittbehörden oder an Private vor. Zu beschaffungs- fremden Zwecken dürfen die Daten daher nur im Einzelfall bekanntgegeben werden. Konkret hätte im Steuerfall zudem ein rechtsmissbräuchliches Verhalten der Betrof- fenen glaubhaft gemacht und im Fall der genforschenden Betriebe deren Einver- ständnis nachgewiesen werden müssen. Diese Voraussetzungen waren ebenfalls nicht erfüllt, weshalb unsere Antwort negativ ausfiel.
" 9hrAir vytrv6yhq
Grenzüberschreitende Datenübermittlungen innerhalb multinationaler Unternehmen und Anmeldepflicht
Xu rqqryrrBrpuswhu r qrv vryrBrryypuhsrhtrs ht r rypur7rqvttrvrvu r9hrv6yhqAir vryqA sr@uhqry rvpurvryvhvhyrVr rurrypurvShurryrvr Sr x vr trIhpusytryhtqr rssvvrr xr vr r Tryyrirr tHvh irvr qhrhqrvpuhr uhyiqr TpurvirsvqrqrChv qr hqhHr uhAir vryr
Damit multinationale Unternehmen ihren Betrieb rational und effizient gestalten kön- nen, müssen Daten unter den verschiedenen Zweigstellen ausgetauscht werden. Von Bedeutung ist vor allem die Übermittlung der Daten der Mitarbeiter der Zweig- stellen/Tochtergesellschaften an den Hauptsitz/Muttergesellschaft. Diese werden für die effiziente Einsetzung der im Unternehmen vorhandenen personellen Resourcen und für die optimale Nachfolgeplanung eingesetzt. Meistens handelt es sich um Per- sonendaten des mittleren und höheren Kaders.
Grenzüberschreitende Datenflüsse können für die Persönlichkeit der betroffenen Personen, Gefahren bergen, insbesondere wegen der Unübersichtlichtkeit der Ü- bermittlungen ins Ausland. Wenn die Daten einmal im Ausland sind, kann die betrof- fene Person ihre Rechte auf Einsicht oder Korrektur kaum mehr geltend machen, vor allem in Staaten ohne gleichwertigen Datenschutz und somit steigt die Gefahr, dass beispielsweise durch eine unerlaubte Datenbearbeitung oder durch die Bearbeitung von unkorrekten Daten eine Persönlichkeitsverletzung geschieht.
Aus diesen Gründen weisen wir auf die wesentliche Elemente hin, die bei Da- tenübermittlungen ins Ausland zu beachten sind:
Xr #tqvrWr h tirv9hrir vytrv6yhq4
Das schweizerische Datenschutzgesetz sieht kein eigentliches Bewilligungsverfahren für Datenübermittlungen ins Ausland vor. Grundsätzlich dürfen Personendaten ins Ausland übermittelt werden, wenn dabei die Persönlichkeit der betroffenen Personen nicht schwerwiegend gefährdet wird. Der Gesetzgeber hat bewusst dem Übermittler die Verantwortung und die Beurteilung der Risiken einer Bekanntgabe von Perso- nendaten ins Ausland überlassen. Die für gewisse Übermittlungen ins Ausland vom Gesetz statuierte Meldepflicht be- freit den Inhaber einer Datensammlung nicht von seiner Verantwortung für die Ein- haltung der materiellen Regeln des Gesetzes. Der Inhaber muss genau gleich wie
bei einer nicht meldepflichtigen Datensammlung das Risiko einer Persönlichkeitsver- letzung selbst beurteilen.
arpxqr Hryqrsyvpu
Mit der Meldung von Übermittlungen ins Ausland wird die Transparenz der Datenbe- arbeitung bezweckt. Der EDSB nimmt die Rechte der Personen, deren Personenda- ten ins Ausland übermittelt werden, ad interim wahr. Deshalb entfällt die Melde- pflicht, wenn die betroffenen Personen von der Datenübermittlung Kenntnis haben.
XhirruqvrQsyvpu Hryqtrvr Bir vytv6yhq4
Wesentlich ist, dass die Daten das Hoheitsgebiet der Schweiz verlassen und nicht, ob die Daten innerhalb einer Gesellschaft oder eines Konzerns übermittelt werden.
XhrvrBir vytvputrryqrr qr4
6hurqr Hryqrsyvpu
9hHryqrr shu r
Falls eine Übermittlung ins Ausland meldepflichtig ist, müssen folgende Angaben gemacht werden (das notwendige Formular ist beim Sekretariat des ESDB kostenlos zu beziehen) :
Im Gegensatz zu den anmeldungspflichtigen Datensammlungen werden gemeldete Übermittlungen ins Ausland nicht registriert und nicht veröffentlicht.
7rv9hrir vytrv6yhqirhpurTvrvirqr rsytrqrQxr)
Ermitteln Sie zuerst die Rechtslage im Empfängerland. Konsultieren Sie zuerst die Liste der Staaten mit einem dem schweizerischen gleichwertigen Datenschutz, welche der EDSB führt. Falls das Empfängerland nicht über einen gleichwertigen Datenschutz verfügt oder Unklarheit über die Rechtslage besteht, dann empfiehlt es sich, mit dem Empfänger eine vertragli- che Vereinbarung zu treffen, um ein dem schweizerischen gleichwertiges Da- tenschutzniveau zu gewährleisten. In einer solchen Vereinbarung sollte min- destens folgendes geregelt werden:
Verbindliche und präzise Definierung des Verwendungszwecks;
Auskunftsrechte der betroffenen Personen;
Regelung der Datensicherheit anhand der Sensibilität der Daten
Folgen für den Fall, dass der Empfänger seine Verpflichtungen nicht einhält. (Schadenersatzpflicht oder Konventionalstrafe).
Vergewissern Sie sich, dass die Daten, die Sie übermitteln, richtig sind
Treffen Sie die notwendigen übermittlungstechnischen Massnahmen (Daten- sicherheit), um die Daten vor dem Zugriff Unbefugter oder vor Verlust zu schützen.
Der Europarat hat einen Mustervertrag erarbeitet, welcher für die Regelung des grenzüberschreitenden Datenverkehrs verwendet werden kann (siehe Anhang S. 106).
4.1. Datenschutzanforderungen an die Büroautomation
Wr rryrvtsuvtrSrpur ivrrhrvr rpurqr Tsh r yyvtrrHtyvpuxrvrqr 7A hhvqvrrryvpur@ yrvpur tr qr 6iyhs rrsAu rxr9vrW vpuhhurirvVthtvQr rqhrqA srqhirvwrqpuvpuhr 6putryhrr qr
Büroautomation unterstützt die Büroarbeit, d.h. das Erstellen, Verändern, Ar-
chivieren, Wiederauffinden und Verteilen von Informationen in Form von Text, Daten, Bildern und Sprache. Büroarbeitsplätze werden zunehmend vernetzt und mit immer leistungsfähigeren Rechnern ausgerüstet; so sind weitreichende Da- tenbearbeitungen möglich, von der einfachen Textverarbeitung bis zur komplexen Groupwareapplikation.
Im Rahmen einer Arbeitsgruppe, die sich mit der Sicherheit im Umfeld der Bü- roautomation der Bundesverwaltung befasste, haben wir auf die Hauptanforde- rungen hingewiesen, die es aus der Sicht des Datenschutzes zu beachten gilt, wo- von wir hier einige zusammenfassen:
Gerade bei der Büroautomation ist es aufgrund der Funktionalität und Flexibilität der Systeme schwierig, diese Anforderungen lediglich mit technischen Mitteln zu erfüllen. Eine sinnvolle und wirksame Massnahme ist jedoch die Protokollierung der Daten- bearbeitung. Eine unbefugtes Bearbeiten kann zwar damit nicht direkt unterbunden werden; im Nachhinein kann jedoch die Rechtmässigkeit der Bearbeitung, vor allem die Zweckbindung, überprüft werden. Daneben sind auf das konkrete Umfeld zuge- schnittene organisatorische Massnahmen zu treffen. In der Regel ist nicht von vornherein bekannt, Daten welcher Sensibilität mittels Bü- roautomationssystemen verarbeitet werden; daher ist im Zweifelsfall bei der Wahl der zu treffenden Massnahmen der ungünstigste Fall ins Auge zu fassen.
4.2. Online-Registrierung von Software
XrTsh rhivrr qvrPyvrSrtv vr trvrTsh r qxr tyv purtru yrvrrvqhqr FqrhyyrAir htrr9hrFr vuh@rpuvputyvpurvqvr5ir httr ivqr
Mehrere Softwareprodukte im PC-Bereich erlauben anstelle einer Registrierung auf
dem Postweg eine Online-Registrierung via Modem. Diese Möglichkeit steht auch Käufern des PC-Betriebssystems Windows95 der Firma Microsoft offen, das im letz- ten Jahr auf den Markt kam. Mehrere Medienberichte sowie Privatpersonen, die sich an uns wandten, äusserten die Befürchtung, dass die Firma Microsoft bei der Regist- rierung möglicherweise Daten vom PC des Kunden überträgt, ohne dass dieser dar- über informiert ist. Wir entschlossen uns, den Sachverhalt näher abzuklären, da die Bearbeitungsmethoden eventuell geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen.
Unsere Abklärungen zu diesem Thema waren bei Redaktionsschluss dieses Be- richtes noch nicht abgeschlossen. Folgende grundsätzliche Aussagen allgemeiner Natur können jedoch schon heute gemacht werden:
Die rechtmässige Beschaffung von Personendaten sowie deren Bearbeitung nach Treu und Glauben sind fundamentale Datenschutzgrundsätze. Daraus ergibt sich, dass keinesfalls Personendaten eines PCs zu einem Anbieter, Softwarehersteller etc. übertragen werden dürfen, ohne dass der Benutzer davon weiss oder dies an- nehmen kann. Er muss wissen, welche Personendaten übertragen werden und die Möglichkeit haben, deren Übertragung ganz oder teilweise zu unterbinden.
4.3. Die Verantwortlichkeit des Auftraggebers und der Servicefirma bei Serviceleis- tungen im EDV-Bereich
XrrvrqrsrxrAryhrqvrQr rqhrruyqrCqyr sA qvrSrh h htruqvtr qrv hyyrhs9hrvpur urvhhur hpurrypurqvrWr hyvpuxrvtru yrvr0qvrvirqr rqhrqvr Aryhrv6yhqtrhqv q6puirvqr Ar Xh t@9W6yhtr vqtrrvtrrrpuvpurq thvh vpurHhhur rssr
Daten aus dem persönlichen Umfeld oder sensible Informationen werden nicht gerne aus der Hand gegeben, wenn nicht davon ausgegangen werden kann, dass diese auch vertraulich behandelt werden.
Der Inhaber der Datensammlung muss dafür besorgt sein, dass die Daten durch Dritte nur so bearbeitet werden, wie er es selbst tun dürfte. Die Übertragung von Da- tenbearbeitungen an Dritte ist zudem nur zulässig, wenn keine gesetzliche oder ver- tragliche Geheimhaltungspflicht es verbietet. Eine vertragliche Wegbedingung von Datenschutzbestimmungen gegenüber dem Kunden ist unwirksam.
Bei der Reparatur bzw. beim Austausch von Festplatten besteht die Möglichkeit, dass Daten unkontrolliert eingesehen oder gar weitergegeben werden. Dieser Unsi- cherheit kann entgegengewirkt werden, indem die Daten auf der Festplatte ver- schlüsselt abgelegt werden. Entscheidend ist jedoch, dass gute, bewährte Chiffrier- algorithmen mit hinreichenden Schlüssellängen eingesetzt werden. Liegen die Daten im Klartext auf der Festplatte, kann die Vertraulichkeit mit einer Löschung erreicht werden. Wichtig ist, dass eine physikalische Löschung erfolgt. Die meisten Betriebsysteme löschen normalerweise lediglich logisch und erlauben so eine einfache Wiederherstellung der Daten. Mit speziellen Hilfsprogrammen (mehr- fache Überschreibung mit verschiedenen Werten etc.) kann eine dauerhafte Lö- schung erzielt werden. Nicht mehr ansprechbare Datenträger können mit starken magnetischen Wechselfeldern behandelt werden. Es ist zu beachten, dass Spezia-
listen unter Ausnutzungen von Restmagnetisierungen etc. eine nicht fachgerechte Löschung rückgängig machen können.
In diesem Zusammenhang sei erwähnt, dass das Anlegen von gut verwahrten Si- cherheitskopien (Backups) eine Selbstverständlichkeit sein muss. Der Defekt einer Festplatte kann ansonsten zu einem unwiederbringlichen Datenverlust bzw. zu e- normen Wiederbeschaffungskosten führen.
Defekte Festplatten werden häufig ins Ausland (z.B. an den Hersteller) gesandt. Die genannten Massnahmen zur Gewährleistung der Vertraulichkeit sind insbesondere in diesem Fall umzusetzen. Datensammlungen, die ins Ausland übermittelt werden, müssen dem Eidgenössischen Datenschutzbeauftragten gemeldet werden, wenn für die Bekanntgabe keine gesetzliche Pflicht besteht oder die betroffenen Personen davon keine Kenntnis haben. Die Übermittlung ist nicht meldepflichtig, wenn sie Staaten betrifft, die über eine gleichwertige Datenschutzgesetzgebung verfügen, es sei denn, die Datensammlungen beinhalten besonders schützenswerte Personenda- ten oder Persönlichkeitsprofile, oder eine Weiterleitung in ein Drittland ohne gleich- wertige Gesetzgebung sei vorgesehen.
Bei der (Fern-)Wartung bzw. der Behebung von Fehlern im EDV-System durch die Liefer- oder Servicefirma muss theoretisch auch von einer unkontrollierten Einsicht- nahme oder von einem unkontrollierten Datenabgang ausgegangen werden. Die ho- hen Privilegien, die dem Wartungspersonal für die Aufgabenerfüllung im EDV- System eingeräumt werden müssen, erlauben es diesem, eine grosse Anzahl von Systemfunktionen auszuführen. In vielen Fällen besteht zwischen der Servicefirma und dem Auftraggeber ein Vertrag mit einer Verschwiegenheitsklausel. Dies ist si- cher ein guter Ansatz; es müssen aber zusätzlich Datensicherheitsvorkehrungen ge- troffen werden, die eine Umgehung dieser Verträge bzw. der Gesetzesvorschriften verunmöglichen, einschränken oder im nachhinein aufzeigen. Mögliche Datensicher- heitsmassnahmen sind in diesem Umfeld die Chiffrierung der Daten und die Proto- kollierung der Eingriffe, die vom Servicepersonal vorgenommen werden. Wie bei al- len Sicherheitsmassnahmen gilt natürlich auch in diesem Fall der Grundsatz der An- gemessenheit. Bei der Bearbeitung von besonders schützenswerten Personendaten, Persönlichkeitsprofilen oder bei sensiblen Zwecken der Datenbearbeitung ist der Stand der Technik bei den Sicherheitsvorkehrungen umzusetzen. Aufgrund heutiger Erfahrungen kann man festhalten, dass namhafte Unternehmungen rund 10-15% der gesamten IT-Kosten in Datensicherheitsmassnahmen investieren.
4.4. Datensicherheitsaspekte bei der Planung von EDV-Projekten
7rvqr @vpxyt@9WTrrvqr 9hrvpur urvrvirqr r6 trr xpurxr6iutvtqr Trvivyvqr irh irvrr9hrvqr rpurqrTvpur urvhhur trrur9r Duhir qr 9hrhyt hyWr h yvpur sA qvr9hrvpur urvvhsxrrr7r htq puqvr Thpur qvtrhtrvrr
Die Einschätzung der möglichen Risiken für die betroffenen Personen ist ein mass- gebendes Kriterium für die Bestimmung der zu treffenden Datensicher- heitsmassnahmen. Im Leitfaden des EDSB zu den technischen und organisa- torischen Massnahmen werden drei (bzw. vier) Sicherheitsstufen unterschieden, die von “keine besondere Beeinträchtigung” bis zu “Gefahr für Leib und Leben” für die
Betroffenen reichen. Sie dienen den Systementwicklern als Orientierungshilfe für die Ergreifung der Massnahmen. Detaillierte Aussagen können jedoch nur bei Kenntnis eines Projekt im konkreten Umfeld gemacht werden
Die höchste Sensibilität ist ab Stufe 3 gegeben. Hier ist der Stand der Technik um- zusetzen. Die Risiken bzw. Gefahren für die Bearbeitung von Daten der Stufe 3 (und höher) werden wie folgt aufgeführt:
Stufe 3: / Hoch
Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesell- schaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beein- trächtigen kann, bzw. die einem besonderen Amtsgeheimnis unterliegen, z. B.
Personenbezogene Daten, deren Missbrauch für den Betroffenen Gefahren für Leib und Leben bedeutet, z. B.
Es ist erstaunlich, wie oft wir auch heute noch feststellen müssen, dass in den Pla- nungsunterlagen von sensitiven EDV-Projekten keine angemessenen Datensicher- ungsmassnahmen aufgeführt sind. Wie erwähnt, muss ab der Sicherheitsstufe 3 der Stand der Technik bei den Sicherheitsvorkehrungen realisiert werden. Bei der Da- tenübermittlung beispielsweise ist eine Chiffrierung auf Applikationsebene anzustre- ben um die Vertraulichkeit zu garantieren. Sollte dies nicht möglich sein, so ist aufzu- führen, warum diese Massnahme nicht umgesetzt werden kann (Beurteilung der An- gemessenheit). Diesbezüglich muss allerdings festgehalten werden, dass immer mehr Produkte am Markt verfügbar sind, die eine umfassenden Datensicherheit be- reitstellen.
Gesetzliche Vorgaben sind MUSS-Zielsetzungen für die Systementwicklung. Aus diesem Grunde müssen die Datensicherheitsüberlegungen ab Projektbeginn in die Planung einfliessen. Verantwortlich für den Datenschutz ist der Inhaber der Daten- sammlung d.h. die privaten Personen oder die Bundesorgane, die über Zweck und Inhalt der Datensammlung entscheiden. Diese sind darauf angewiesen, dass die Sachverständigen nachvollziehbar aufzeigen, welche Massnahmen realisierbar sind, welche Wirkungen sie haben und welche Ressourcen benötigt werden. Erst auf- grund dieser transparenten Darstellung wird es dem Inhaber der Datensammlung möglich sein, seiner Verantwortung gerecht zu werden.
$ Ihpu vpurqvr
Pflicht des militärischen Nachrichtendienstes zur Anmeldung seiner Datensammlun- gen
9hrr7qrtrrAir qvr6 rrqqvrHvyv r hytvruqvrTpuhsst rvrIhpu vpurqvrr @r puvtqr7qr h6hurqr Qsyvpu Srtv vr t9hrhytrhpu9TB rur9hvvqr Ihpu vpurqvrwrqpuvpuqr Qsyvpu 6ryqtqvrr 9hrhy trirvriqr
Der Nachrichtendienst der Armee hat zur Aufgabe, sicherheitspolitisch bedeutsame Informationen über das Ausland zu beschaffen, auszuwerten und zu verbreiten. Der Bundesrat wird im neuen Bundesgesetz über die Armee und die Militärverwaltung ermächtigt, diesbezüglich Ausnahmen von den datenschutzrechtlichen Vorschriften über die Registrierung von Datensammlungen vorzusehen. Ausgehend von dieser Bestimmung entbindet aber die Verordnung über den Nachrichtendienst diesen nicht nur von der Registrierungspflicht, sondern auch von der Pflicht zur Anmeldung von nachrichtendienstlichen Datensammlungen.
Das Bundesgesetz über den Datenschutz (DSG) unterscheidet klar zwischen An- meldungs- und Registrierungspflicht. Die Anmeldung gewährleistet dem EDSB die Aufsicht über die vom Nachrich- tendienst geführten Datensammlungen. Bundesorgane sind nach DSG verpflichtet, ihre Datensammlungen anzumelden. Ausnahmen von der Anmeldungspflicht müs- sen gesetzlich ausdrücklich vorgesehen werden.
Die vom Bundesrat schlussendlich gewählte Lösung entspricht nicht ganz den Be- stimmungen des DSG betreffend Anmeldung der Datensammlungen. Das Militärge- setz sieht keine Ausnahme von der datenschutzrechtlichen Anmeldungspflicht vor und entbindet den Nachrichtendienst nur von der Registrierungspflicht. Die bundes- rätliche Verordnung sieht jedoch die Anmeldung der Datensammlungen des Nach- richtendienstes nur dann vor, wenn dadurch keine Gefährdung der Informationsbe- schaffung entsteht. Aber auch wenn die Informationsbeschaffung nicht gefährdet wird, ist eine ordentliche Anmeldung der Datensammlung nicht vorgesehen. Der Eid- genössische Datenschutzbeauftragte soll in solchen Fällen nur in allgemeiner Form über das Bestehen solcher Datensammlungen informiert werden.
% Trr
Datenschutzklauseln in Steuererlassen - Mehrwertsteuergesetz und Militärpflichter- satzverordnung
Dvr hvhyrqvhvhyrTrr r yhrv qqr6s qr trhqr 9hrpuurr rtryvtvrvsvpur9hrpuirvtrSrpu ttr htr9hirvrvpurvpuqvrCr hivyqtrvr hvrThqh q hi
Gemäss DSG müssen für gewisse Datenbearbeitungen formellgesetzliche Grundla- gen geschaffen werden. Im Rahmen der hängigen Gesetzgebungsverfahren haben
wir uns von der Eidgenössischen Steuerverwaltung die bei der Mehrwertsteuer und beim Militärpflichtersatz anfallenden Datenbearbeitungen erläutern lassen. Dabei hat sich ergeben, dass in beiden Bereichen formellgesetzliche Grundlagen für die Da- tenbearbeitung geschaffen werden müssen. Für das Mehrwertsteuergesetz haben wir daher im Rahmen des Vernehmlassungsverfahrens einen ausgearbeiteten Er- gänzungsvorschlag eingebracht. Desgleichen haben wir bei der Revision der Militär- pflichtersatzverordnung Vorschläge unterbreitet, welche von der Eidg. Steuerverwal- tung übernommen wurden. Eine Anpassung des Militärpflichtersatzgesetzes ist für die kommende Revision vorgesehen. Bei dieser Gelegenheit können diese Vor- schläge von der Verordnung in ein formelles Gesetz übergeführt werden.
Im einzelnen geht es darum, die wichtigen Datenbearbeitungen und die zur Verwirk- lichung des Steuergeheimnisses und des Datenschutzes erforderlichen organisatori- schen und technischen Vorkehren in den groben Zügen zu umschreiben. Anders als bei der Mehrwertsteuer führt die Eidgenössische Steuerverwaltung beim Mili- tärpflichtersatz keine zentrale Datensammlung, sondern überlässt den Vollzug den Kantonen. Aus diesem Grund ist es hier besonders wichtig, dass landesweit ein mi- nimaler Sicherheitsstandard gewährleistet ist. Dies umsomehr, als im Rahmen des Militärpflichtersatzes regelmässig heikle Gesundheitsdaten bearbeitet werden. Er- freulicherweise wurde in die Militärpflichtersatzverordnung daher eine Bestimmung aufgenommen, wonach die Eidgenössische Steuerverwaltung Weisungen über die Anforderungen an die Datensicherheit erlassen und gemäss den Empfehlungen des Bundesamtes für Informatik für die Koordination sorgen kann (vgl. zur erheblichen Bedeutung solcher koordinierender Vorschriften unsere Ausführungen im 2. Tätig- keitsbericht S. 81f.)
Im Rahmen der OECD berät eine Arbeitsgruppe gegenwärtig die Aufnahme einer spezifischen Datenschutzklausel in das Musterabkommen zur Vermeidung der Dop- pelbesteuerung. Wir haben den schweizer Vertretern in dieser Arbeitsgruppe unsere Befürwortung dieses Vorhabens signalisiert.
& 7hxr
Pflicht zur Offenlegung von Bankverbindungen für Anlage- und Handelsgeschäfte durch Bankangestellte
@vr7hxqh shyyr6trryyrqvrPssryrttvu r 7hxr ivqtrir rssrq Chqryq6yhtrtrpusr pu rvirrqvrsA qvr7rhputvu r T t shysyvpuqqvrWr uvqr tDvqr trpusrr s qr yvpuv
Eine private Person machte uns auf das "Reglement für Anlage- und Handelsge- schäfte" einer Bank aufmerksam, welches die Offenlegung sämtlicher Bankver- bindungen betreffend Handels- und Anlagegeschäfte aller Mitarbeiter und Mitar- beiterinnen verlangt. Werden Anlage- und Handelsgeschäfte über nicht bewilligte Konti bei Drittbanken abgewickelt, so gilt dies als grober Verstoss gegen das Regle- ment und kann arbeitsrechtliche Konsequenzen haben (bis hin zur fristlosen Kündi- gung).
Zweck des Reglementes für die Offenlegung von Anlage- und Handelsgeschäften ist einerseits die Verhinderung von Insidergeschäften, andererseits der Schutz der Mit-
arbeiter, die durch Handelsgeschäfte in Konflikt mit eigenen Interessen, den Interes- sen der Kunden oder denjenigen der Bank kommen könnten. Zudem unterstehen die Banken der Aufsicht durch die Eidgenössische Bankenkommission und haben im Rahmen ihrer Sorgfaltspflicht diese Bankverbindungen zu überprüfen.
Da der Arbeitgeber Daten über den Arbeitnehmer grundsätzlich nur bearbeiten darf, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind, stellte sich die Frage, inwiefern es für die Bank erforderlich ist, die Bankverbindungen für Anlage- und Handelsgeschäfte jener Angestellten zu kennen, welche in ihrer Tätigkeit nicht mit Informationen im Finanz- bereich zu tun haben. Wie unsere Abklärungen ergeben haben, bestehen zwischen den verschiedenen Abteilungen der betreffenden Bank sehr enge Verknüpfungen, weshalb (fast) jeder Mitarbeiter mit Informationen im Finanzbereich in Berührung kommen kann.
Aus diesen Gründen wurde die Erhebung der Bankverbindungen für Handels- und Anlagegeschäfte sämtlicher Angestellter im vorliegenden Fall als zulässig qualifiziert.
' WvqrAir hput
Videoüberwachung bei Kehrichtsammelstelle
6rvr ssryvpurFru vpuhryryyryyrvr vhrAv hrvrWvqr xhr hvhyyvr r qrqr7r rvpuqvrhstrryyr8hvr qvr7r r qr Thryryyrqhirr6vrqhIr puvyqqrryirhs rvpurarpxqr WvqrAir hputyyqvrDqrvsvvr tQr rrv qvrqvrThryryyrrpxrs rqrqvi puyvpuirr9vr8hvr irsvqrvpuhsqrXr xusqr Brrvqr
Eine private Sicherheitsfirma, die Überwachungsgeräte installieren soll, ist eine pri- vate Person im Sinne des DSG. Erteilt jedoch eine Gemeinde einer privaten Firma den Auftrag zur Installation einer Videokamera und damit zur Aufzeichnung der Be- wegungsabläufe auf dem Werkhofareal, so handelt es sich um eine Datenbearbei- tung im Auftrag. Verantwortlich für die Einhaltung des Datenschutzes ist der Auftrag- geber, hier die Gemeinde. Die Gemeinde ist jedoch weder Bundesbehörde noch pri- vate Person. Aus diesem Grunde fällt sie nicht unter das DSG, sondern unter die Datenschutzbestimmungen des betreffenden Kantons.
Die Problematik der Videoüberwachung durch Private stellt sich aus unserer Sicht allgemein wie folgt dar: Personendaten im Sinne des DSG sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Unter Bearbeiten wird jeder Umgang mit Per- sonendaten verstanden, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntge- ben, Archivieren oder Vernichten von Daten. Wenn mittels Kamera die Benutzer der Kehrichtsammelstelle gefilmt werden, so enthalten die Filmaufnahmen Angaben ü- ber diese Personen. Sie können etwa anhand der Gesichter oder der Autokennzei- chen identifiziert und damit bestimmt werden. Beim Aufzeichnen von Bewegungsab- läufen von Personen handelt es sich um einen Eingriff in die Persönlichkeit, der ge- rechtfertigt sein kann, um Missbräuchen vorzubeugen bzw. dieselben ahnden zu
können. Auch wenn ein Rechtfertigungsgrund für die Aufzeichnung vorliegt, müssen die da- tenschutzrechtlichen Bearbeitungsgrundsätze der Verhältnismässigkeit und der Zweckgebundenheit beachtet werden. Das bedeutet, dass die Aufzeichnungen nur erstellt und ausgewertet werden dürfen, um Missbräuche zu verhindern bzw. ahnden zu können. Anderweitige Verwendungen der Aufzeichnungen wären nicht zulässig. Der Grundsatz der Verhältnismässigkeit verlangt zudem, dass nur diejenigen Daten, die für die Erfüllung des Zweckes erforderlich sind, aufgezeichnet werden dürfen. Die Aufzeichnungen dürfen nur während möglichst kurzen Zeiträumen, etwa in der Nacht erstellt werden, wenn tagsüber keine Missbräuche erfolgen. Darüber hinaus müssen die Aufzeichnungen über Bewegungsabläufe, die nachweislich nicht auf Missbräu- che hinweisen, sofort vernichtet werden.
( Wr puvrqrr
9.1. Das Handelsregister als elektronische Datenbank
Irrv trv@vqtrvpurChqry rtvr qrivur vTpurvr vpur ChqryhiyhTC67iyvvr 9h@vqtrvpur6sA qhChqry rtvr As arvqvr@vsAu tqr ryrx vpurAAu tqrChqry rtvr qvrqh vruhyrr9hrqr Tssryvpuxrvrvshpur ttyvpuhpur
Das Eidgenössische Amt für das Handelsregister ersuchte uns um Beratung in Hin- blick auf die Automatisierung des Handelsregisters. Die Datenbearbeitung im Rah- men öffentlicher Register ist nach sehr detaillierten und formellen Vorschriften gere- gelt. Bedeutsam für das Handelsregister sind insbesondere die Bestimmungen des Obligationenrechts (OR) und der Handelsregisterverordnung (HRegV). Aus Gründen der Rechtssicherheit sollen diese Vorschriften durch das DSG nicht geändert wer- den, weshalb das Handelsregister als öffentliches Register des Privatrechtsverkehrs vom Geltungsbereich des DSG ausgenommen ist. Dies schliesst jedoch bei neuen Datenbearbeitungen die Schaffung besonderer Datenschutzbestimmungen im OR und in der HRegV nicht aus. Dabei können die im DSG und der VDSG sowie in der Empfehlung Nr. R (91) 10 des Ministerkomitees des Europarates an die Mitgliedstaa- ten für die Übermittlung der von öffentlichen Stellen gespeicherten personenbezoge- nen Daten an Dritte vorgesehenen Lösungen herangezogen werden.
Vor diesem Hintergrund haben wir in einem ersten Schritt vorgeschlagen, die Kate- gorien der bearbeiteten Personendaten und den Zweck der elektronischen Bearbei- tung zu definieren. Ferner ist die für die Datensammlung verantwortliche Stelle zu bezeichnen, welche die Auswahlkriterien und Bedürfnisnachweise für den Zugriff auf die Daten festlegt. Obwohl das Register einen öffentlichen Charakter hat, bedeutet dies nicht, dass die Daten unbeschränkt zugänglich gemacht und verwendet werden dürfen. Das Zweck- bindungsgebot ist nämlich auch auf öffentlich zugängliche Daten anwendbar. Dies bedeutet, Daten dürfen nicht an Dritte übermittelt werden, wenn die Bekanntgabe mit dem Zweck unvereinbar ist, für den sie erhoben wurden. Damit betroffene Personen sich gegen eine Bearbeitung ihrer Daten wehren können, muss auch das Auskunfts- recht gewährleistet sein. Im Interesse der Datensicherheit müssen zudem sämtliche vorgenannte Kriterien mit den technischen und organisatorischen Massnahmen ab- gestimmt werden.
9.2. Reiseteilnehmerlisten bei Gruppenreisen
Srvrr rurqvrirvqr 9 pusAu tB r rvr6q ryvrqr Urvyrur r ryyrqirxhtriryyrqvrir ssrrQr r Air qvr@ ryytqvrr Gvr vrvr rXr hsqr GvrvpuhstrsAu r qr puryyrqvrqrSrvrr rurrtyvpuirvWr hthipuy vrvyrxr
Ein Reiseunternehmen erstellte seit Jahren für die Teilnehmer von Gruppenreisen Adresslisten (bestehend aus Anrede, Name, Vorname, Adresse und Nationalität). Der Zweck dieser Listen bestand darin, die Teilnehmer vor Antritt der Reise überein- ander zu informieren, damit allenfalls gemeinsame Hin- und Rückreisen organisiert und nach der Reise die geknüpften Kontakte aufrechterhalten werden konnten. Auf- grund von Reklamationen stellte die Reiseunternehmung das Erstellen dieser Listen und wandte sich an uns, um abzuklären, ob die Verwendung solcher Adresslisten erlaubt sei.
Grundsätzlich können Personendaten für die Erstellung von Listen verwendet wer- den, wenn die betroffenen Personen davon Kenntnis haben. Die Errichtung von Teil- nehmerlisten wird erst problematisch, wenn die betroffenen Personen dies nicht wis- sen. Die Adressdaten werden vom Reiseunternehmen nämlich für die Abwicklung des Vertragsverhältnisses (Buchung der Reise und Rechnungsstellung) beschafft. Die weitere Bearbeitung für Adresslisten, die Dritten (anderen Reiseteilnehmern) be- kanntgegeben werden, erfordert deshalb die Einwilligung der Betroffenen. Daher sollte der Kunde vorgängig entsprechend informiert werden, damit er die Möglichkeit hat, der weiteren Bearbeitung seiner Daten zuzustimmen oder sie abzulehnen.
9.3. Das Antragsformular für die Miete eines Fahrzeuges
@ puvttxyhryv6 hts yh rsA qvrHvrrQr rhtrqA srvpuhyytrrvr shrvqhqr Wr vrr @ xqvttrirvv trq wrhqrrvuyrxhAA qrHvrr xyh r vpuyvpurvirvrrypur 6ixy trAir vurvtruyr qryyrqr qvr@vvyyvttr rvy
Eine private Person gelangte mit der Frage an uns, ob es üblich sei, dass bei der Miete eines Personenwagens Erkundigungen bei den PTT eingeholt würden. Eine Überprüfung des Antragformulars ergab, dass neben dem Namen und der Adresse der Beruf, der Arbeitgeber und dessen Adresse sowie die Dauer der Anstellung an- zugeben waren. Gleichzeitig wurde der Fahrzeugvermieter ermächtigt, "sämtliche Angaben überprüfen zu können". Wenn eine Ermächtigungsklausel derart allgemein gehalten ist, kann der Kunde nicht kontrollieren, bei welchen Stellen und Organisati- onen weitere Nachforschungen über ihn angestellt werden. Aus datenschutzrechtli- cher Sicht ist eine derartige Einwilligung ungültig, da der Mieter nur in einen klar be- stimmten Sachverhalt einwilligen kann. Die betroffene Unternehmung hat in der Folge ihr Antragsformular daten- schutzkonform revidiert und die Ermächtigungsklausel lautet neu: "Der Mieter er- mächtigt den Vermieter, diese Angaben beim Arbeitgeber beziehungsweise den an- gegebenen Referenzadressen zu überprüfen".
9.4. Akteneinsichtsgesuch des Historischen Lexikons der Schweiz beim Schweize- rischen Bundesarchiv bezüglich Chefbeamte
9hCv vpurGrvxqr TpurvCGTpurAir 8ursirhrwrrvyru arvyrshrqrivt huvpur6 vxryr shrVqvrvtrDs hvr Air qvrvpuru hvr rqr8ursirhrr uhyruhvpuqhCGThqh Tpurvr vpur7qrh puv76Svqr 7vrtrhqvqvrirv76Syhtr qrQr hyqvr qr ir rssrqr8ursirhr@vvpururqA srHv rvr trr ryyr@vvputru txrv h9hrput Aqrvpu rvr hqrr xy r
Bei den betreffenden Beamten handelt es sich zum Teil um zur Zeit noch lebende und zum Teil um bereits verstorbene Personen. Es stellt sich die Frage, ob es zuläs- sig ist, Personaldossiers, die besonders schützenswerte Personendaten oder Per- sönlichkeitsprofile enthalten, Drittpersonen zugänglich zu machen, damit diese bio- graphische Artikel im Umfang von 10 Zeilen über die betreffende Person veröffentli- chen können. Die Bekanntgabe von Personendaten durch das BAR unterliegt zur Zeit noch einem Reglement des BAR. Dessen Bestimmungen sind jedoch daten- schutzkonform auszulegen. Gemäss dem Reglement dürfen Personendaten nach 35 Jahren bedingungslos der Öffentlichkeit zugänglich gemacht werden, sofern keine öffentlichen oder privaten Interessen beeinträchtigt werden. Das bedeutet, dass in jedem Einzelfall geprüft werden muss, ob die Einsichtgewährung in ein beim BAR lagerndes Personaldossier private Interessen beeinträchtigt. Dabei sind die verschiedenen sich gegenüberste- henden Interessen gegeneinander abzuwägen. Personaldossiers enthalten im allgemeinen besonders schützenswerte Personen- daten (wie etwa Krankengeschichten, Arztzeugnisse). Oder aber es ergibt sich auf- grund der im Personaldossier enthaltenen Dokumente (wie Qualifizierungen, Beurtei- lungsgespräche, Lebensläufe, Informationen über Familienverhältnisse) ein Persön- lichkeitsprofil der betreffenden Person. Lebt diese noch, so ist grundsätzlich davon auszugehen, dass die Einsichtgewährung ihre privaten Interessen beeinträchtigen kann. Demzufolge dürfen solche Personendaten auch nach 35 Jahren nicht der Öf- fentlichkeit zugänglich gemacht werden, es sei denn, die betroffene Person ist mit der Einsichtgewährung einverstanden.
Einsicht in Personaldossiers von verstorbenen Personen ist nur dann zu gewähren, wenn der Gesuchsteller ein Interesse nachweist und der Einsichtnahme keine über- wiegenden Interessen von Angehörigen der verstorbenen Person oder von Dritten entgegenstehen. Sowohl bezüglich noch lebender als auch bei verstorbenen Personen rechtfertigt sich die Gewährung der Einsicht im vorliegenden Fall aus Gründen der Ver- hältnismässigkeit nicht. Es ist unverhältnismässig, einer Drittperson Dokumente mit besonders schützenswerten Personendaten oder Dokumente, aus denen sich Per- sönlichkeitsprofile ergeben können, zugänglich zu machen, wenn dies nur dazu dient, Eckdaten für einen zehnzeiligen biographischen Artikel zu sammeln.
9.5. Aufnahme von wissenschaftlichen Interviews
9vrTpurvr vpurGhqruurxsAu vqr7qrhsA Fvxhv vrpuhsyvpurDr vrvarvrtr Syyrqr Tpurvhiqrq rvvtr Ehu rq pu9vr6shuryyrhpuyvrrqvrvr 9hrihxqxrvr
qqr vrpuhsyvpurA putttyvputrhpur qr
Die Schweizerische Landesphonothek führt mit dem Bundesamt für Kommunikation eine Reihe von wissenschaftlichen Interviews mit Zeitzeugen zur Rolle des Radios in der Schweiz ab den dreissiger Jahren durch. Dies betrifft einerseits Radiopioniere, andererseits aber auch damalige Radiohörer. Die Aufnahmen werden anschliessend in einer Datenbank dokumentiert und der wissenschaftlichen Forschung zugänglich gemacht.
Die Schweizerische Landesphonothek hat sich an uns gewandt, da sie Wert darauf legt, dass dieses wissenschaftliche Projekt vollumfänglich den gesetzlichen Vorga- ben entspricht. Zu diesem Zweck hat sie uns den Entwurf eines Reglementes für die Datenaufnahme und die nachherige Bearbeitung und Nutzung der Daten durch Dritte zur Stellungnahme vorgelegt. Wir vertraten die Ansicht, dass das Reglement grundsätzlich allen befragten Perso- nen vor dem Interview zugänglich gemacht werden sollte und dass grundsätzlich alle Dokumente bzw. Kopien bis auf zu regelnde Ausnahmen der Öffentlichkeit nur ano- nymisiert zugänglich gemacht werden dürfen. Desweiteren wiesen wir die Landes- phonothek darauf hin, dass sie als Dateninhaberin für die Einhaltung des Daten- schutzes verantwortlich sei. Im übrigen konnten wir uns mit dem uns vorgelegten Entwurf einverstanden erklären. Unseren Forderungen wurde vollumfänglich Rech- nung getragen.
9.6. Adoptionen und Aufenthaltsnachforschungen
Ihpus putrhpuqryrviyvpur@yr r qrvr usvtr vhrWr vytryyr trr9hirvr qrs7ru qrqvr7rxhthir 6q rrhtrs ht@vwrqpu6sthirqr qvtr6qviru qrirv 6s htrQr rqvrvu ryrviyvpur@yr purhpurvr r rpurqr 6ixy tqDr rrhittqvr6q rrqr yrviyvpur@yr irxhtr irsr qvrrqhvrvr hqrvq
Die Einwohnerkontrolle einer Gemeinde wurde von verschiedenen Vermittlungs- institutionen für Adoptivkinder nach den Adressen der leiblichen Eltern gefragt. Die Vermittlungsstellen sind im Gegensatz zu den Amtstellen nicht verpflichtet, die Adop- tionsakten nach der Adoption zu vernichten und haben so die Möglichkeit, aufgrund des früheren Wohnsitzes der leiblichen Eltern nach der aktuellen Adresse zu su- chen. Die Einwohnerkontrolle erkundigte sich bei uns, inwiefern die Beantwortung solcher Anfragen mit dem Adoptionsgeheimnis vereinbar sei. Einwohnerkontrollen sind Gemeindeorgane, die den kantonalen Datenschutzbe- stimmungen unterstehen. Soweit keine kantonalen Datenschutzvorschriften be- stehen, gelten für das Bearbeiten von Personendaten durch kantonale Organe beim Vollzug von Bundesrecht gewisse Bestimmungen des DSG. Im vorliegenden Fall vollziehen die Einwohnerkontrollen als kantonale Organe Bundesrecht, weshalb ge- wisse Bestimmungen des DSG in Kantonen ohne kantonales Datenschutzgesetz Anwendung finden. Diese Kantone bestimmen ein Kontrollorgan, welches für die Einhaltung des Datenschutzes sorgt. Da die Kenntnis der Abstammung ein wichtiges Element für die persönliche Entwick- lung eines Menschen bildet, stellt sich die Frage, wer mit dem Adoptionsgeheimnis geschützt werden soll. In erster Linie soll es das Kind schützen. Die leiblichen Eltern des Kindes sollen nicht die Möglichkeit haben, sich durch weiteren Kontakt mit dem
Kind in dessen Erziehung einzumischen und dadurch das Gelingen der Adoption zu gefährden. Die durch Adoption begründete Familie soll sich gleich wie die auf der leiblichen Abstammung basierende unabhängig von äusseren Einflüssen entwickeln können. Aus diesem Grund darf die Identität der Adoptiveltern ohne ihre Zustim- mung den leiblichen Eltern des Kindes nicht bekanntgegeben werden. Die soziale Integration des Kindes in seine neue Familie als Hautpzweck des Adoptionsgeheim- nisses verlangt indessen nicht, dass die Geheimhaltungspflicht für immer aufrecht erhalten bleibt. Wir sind der Auffassung, wenn das Kind den Wunsch hegt, seine leiblichen Eltern kennenzulernen, muss eine Interessenabwägung vorgenommen werden. Es sollte von den Adoptionsbehörden und nicht von privaten Vermittlungsstellen geprüft wer- den, ob tatsächlich ein überwiegendes Interesse der betroffenen Person an der Da- tenbekanntgabe besteht und inwiefern die übrigen Beteiligten (Adoptiveltern und leibliche Eltern) zur Bekanntgab der Identität bereit sind oder ob anderweitige stich- haltige Interessen entgegenstehen. Die Verantwortung für die Entscheidfindung im Einzelfall liegt freilich stets bei der betreffenden Behörde.
9.7. Arbeitsgruppe der Kantone
9vrahrh irvvqrxhhyr9hrpuiru qrtru qrtrr yvpur6sthirqr@vqtrvpur9hrpuirhs htr9vrrahrh irvvt r 7rqrthryvpuvCviyvpxhsqvrhuy rvpur9hrirh irvtrqDs hvrrvpur7qqFhr9vrrah rh irvr sytvirqr rq puqvrTpurvr vpurFsr rqr 9hr puirhs htrvrurhpuT'(qq pur r7rrvyvtthrvr 6 irv t rqvrqrxhhyr9hrpuirhs htrqr FhraA vpu7r 7hryGhqA rvi tqGr trivyqr qr
Der Zweck dieser informellen Arbeitsgruppe besteht darin, den Informations- austausch zwischen den Kantonen über gemeinsame Fragen zu verstärken. Die Ar- beitsgruppe steht allen kantonalen Datenschutzbehörden offen, sofern sie dabei sein möchten und bereit sind, aktiv mitzuarbeiten. Die Arbeitsgruppe möchte auch die Zusammenarbeit mit dem Eidgenössischen Datenschutzbeauftragten verstärken und hat ihn zu diesem Zweck an ihre Sitzungen eingeladen. Wir haben uns bereit erklärt, in Funktion der behandelten Themen teilzunehmen, sofern daraus keine Nachteile für die anderen Kantone und die Schweizerische Konferenz der Datenschutzbeauf- tragten entstehen. Wir haben bisher an drei Sitzungen teilgenommen, an denen die folgenden Themen behandelt wurden: Information zwischen den Kantonen und dem Bund, Datensicherheit in Netzen und Daten über die Gesundheit.
DW DIU@SI6UDPI6G@T
Dr hvhyrFsr rqr 7rhs htrsA qr9hrpu
Die 17. Internationale Konferenz der Datenschutzbeauftragten fand auf Einladung des dänischen Datenschutzbeauftragten vom 6. bis 8. September 1995 in Kopenha- gen statt. An dieser Konferenz trafen die Datenschutzbeauftragten von 25 Staaten mit Regierungsexperten und Vertretern der Europäischen Union, der Wirtschaft, der
Wissenschaft und Vertretern des Diensleistungssektors zusammen. Die Schweiz war durch den stellvertretenden Eidgenössischen Datenschutzbeauftragten und den Da- tenschutzbeauftragten des Kantons Zürich vertreten. An der Konferenz wurden die jüngsten internationalen Entwicklungen und insbesondere die EU-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erörtert. Die Konferenz ermöglichte auch einen vertieften Informationsaustausch über den Schutz der Privatsphäre im Arbeitsbereich (Proble- matik der automatisierten Überwachung am Arbeitsplatz: Überwachung der berufli- chen Tätigkeit und insbesondere automatische Erfassung der Arbeitszeit, Abhörung von Telefongesprächen zur Kontrolle der Arbeitseffizienz und -qualität, Überwachung von Netzen, Videoüberwachung und die Erscheinung des “elektronischen Vorarbei- ters”; Verwendung von genetischen Daten im Arbeitsbereich; Information der betrof- fenen Personen über ihre Rechte). Die Konferenzteilnehmer befassten sich ausser- dem mit Datenschutz-Problemen im Bereich der Forschung und der Statistik, insbe- sondere am Beispiel der skandinavischen Länder und der Arbeiten des Europarates. Besprochen wurden auch die technologischen Entwicklungen, aus denen sich neue Risiken für die Privatsphäre und den Datenschutz ergeben (insbesondere durch die Multiplikation von elektronischen Spuren, ohne dass die betroffene Person in der Lage ist, den Überblick oder die Kontrolle über alle individuellen Verbindungen, die sie herstellt, zu behalten, ebenso Multifunktionalität und Multimedia, Digitalisierung, Bearbeitung von Bild und Ton). Nach Ansicht der Datenschutzbeauftragten müssen der Datenschutz und die Datensicherheit angesichts dieser neuen Technologien dringend ausgebaut werden. Durch diese neuen Technologien ergeben sich im Be- reich der Datenbearbeitung nämlich tiefgreifende Veränderungen, insbesondere durch die Möglichkeit, Ton, Bild und Text zu kombinieren sowie durch die Möglichkeit einer weiträumige Verbreitung von Informationen und wegen der unbegrenzten Kombinationsmöglichkeiten. Erforderlich ist vor allem die Einschränkung der Ver- wendung von Personendaten durch die Anwendung anonymer Verfahren (anonyme Bezahlung, anonymer Verbindungsaufbau usw.) sowie durch die Beschränkung der Zugriffe auf Daten entsprechend dem jeweils verfolgten Zweck. Die Kontrollverfahren müssen verbessert werden, namentlich indem spezielle Datenschutz-Programme entwickelt und angewendet werden. Ausserdem ist es unerlässlich, bei der Konzep- tion und Entwicklung von Informationssystemen Technologien zu berücksichtigen, welche die Privatsphäre schützen (Chiffrierungstechniken, Anonymisierung durch den einmaligen Einsatz einer Pseudo-Identität). Zudem betonten die Datenschutz- beauftragten einmal mehr die Bedeutung der Information der Öffentlichkeit für die Sensibilisierung der verschiedenenBeteiligten bezüglich der Risiken der neuen Technologien, was zu einer erhöhten Wachsamkeit und zur Ermutigung der betrof- fenen Personen, ihre Rechte wahrzunehmen, führt.
! @ h h
Die Projektgruppe für Datenschutz des Europarates ist unter dem Vorsitz der Schweiz zweimal zusammengetreten. Sie hat insbesondere ihre Arbeit im Zu- sammenhang mit der Verabschiedung einer Empfehlung zum Schutze medizinischer Daten sowie einer Empfehlung zum Schutze von Personendaten, die zu statistischen Zwecken erhoben und bearbeitet werden, fortgesetzt. Diese beiden Instrumente soll- ten dieses Jahr zum Abschluss gebracht und im Verlauf des Jahres 1997 vom Minis- terkomitee verabschiedet werden. Ausserdem haben wir uns an den Arbeiten der Arbeitsgruppe 14 beteiligt, die beauftragt ist, einen Entwurf für eine Empfehlung zum Schutze von Personendaten vorzubereiten, die für Privatversicherungszwecke erho-
ben und bearbeitet werden. Schliesslich hat eine neue Arbeitsgruppe ihre Arbeiten im Zusammenhang mit den neuen Informationstechnologien, insbesondere mit den Datenautobahnen (Internet) und Multimedia aufgenommen.
Der durch die Konvention 108 geschaffene beratende Ausschuss, der namentlich damit beauftragt ist, Stellungnahmen zur Anwendung des besagten Über- einkommens abzugeben, hat seine Arbeiten im Zusammenhang mit der Definition von personenbezogenen Daten, insbesondere hinsichtlich des Einbezugs von Ton und Bild sowie des Begriffs des ”ungeborenen Kindes”, fortgesetzt. Er hat eine Stel- lungnahme zur “Kompatibilität von Daten” abgegeben und akzeptiert, dass die Ver- wendung von Personendaten, die ursprünglich zu anderen Zwecken erhoben wur- den, zu statistischen Zwecken grundsätzlich mit dem ursprünglichen Zweck der Be- arbeitung vereinbar ist, sofern gewisse Garantien abgegeben werden. Ausserdem hat er den Antrag eines Unterzeichnerstaates auf Ausarbeitung eines Zusatzproto- kolls zur Konvention 108, das die internationale Unterstützung von betroffenen Per- sonen verstärken sollte, zurückgewiesen. Auf unser Ersuchen hin hat er zu den Bedingungen für die Ratifizierung der Konvention 108 Stellung genommen. Darin hat er betont, dass unser Land die im Übereinkommen geforderten Kriterien für die Ratifizierung erfüllt. Somit enthält das schweizerische Recht ausreichende Garantien, die mit den Anforderungen des Übereinkommens übereinstimmen, um eine Ratifizierung des Übereinkommens durch die Schweiz zu ermöglichen, obwohl einige Kantone bislang über kein eigenes Datenschutzgesetz verfügen.
Das Europäische Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (STE Nr. 108) ist ein wichtiger Schritt in Richtung einer Harmonisierung der nationalen Gesetzgebungen und der Weiterent- wicklung der internationalen Zusammenarbeit. Dadurch kann im Bereich des Daten- schutzes ein hohes Niveau sichergestellt und zugleich der freie Datenaustausch ge- währleistet werden. Es gilt für alle Datensammlungen und automatisierten Bearbei- tungen von Personendaten im öffentlichen und privaten Bereich, sofern diese Daten sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Es legt die Grundsätze und Grundlagen für den Datenschutz fest, welche die Vertragsstaaten in ihren innerstaatlichen Gesetzgebungen konkretisieren müssen. Einschränkungen in bezug auf den grenzüberschreitenden Datenaustausch zwischen den Vertragsstaa- ten werden im Übereinkommen grundsätzlich ausgeschlossen. Es regelt die Zu- sammenarbeit zwischen den Staaten für die praktische Umsetzung des Überein- kommens sowie insbesondere die Unterstützung, die ein Vertragsstaat betroffenen Personen leisten muss, die ihren Wohnsitz im Ausland haben. Dieses Übereinkom- men wurde von 17 Vertragsstaaten ratifiziert, vier weitere haben es unterzeichnet. Mit Ausnahme der Schweiz und von Ungarn verfügen alle Staaten, die das Überein- kommen noch nicht ratifiziert haben, noch nicht über eine Gesetzgebung, welche die Anforderungen des Übereinkommens erfüllt.
Im Auftrag des EJPD haben wir die Arbeiten hinsichtlich der Ratifizierung der Kon- vention 108 fortgesetzt. Der Bundesrat wird seine Botschaft an das Parlament vor- aussichtlich im Laufe des Sommers verabschieden; damit sollte eine Ratifizierung in der ersten Hälfte dieser Legislaturperiode möglich werden. Die Ratifizierung der Konvention stellt in einer immer stärker vernetzten Welt eine politische und rechtliche Notwendigkeit dar. Sie wird letztlich zu einer Erhöhung des Rechtsschutzes des Indi- viduums bei der Bearbeitung von Personendaten führen und gleichzeitig eine Verein- fachung des Informationsaustausches zwischen der Schweiz und den anderen Ver- tragsstaaten ermöglichen.
" @ vpurVv
Die Richtlinie 95/46/EG des Europäischen Parlaments und des Europäischen Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr wurde am 24. Oktober 1995 verabschiedet. Die Mit- gliedstaaten der Europäischen Union und des Europäischen Wirtschaftsraums ha- ben drei Jahre Zeit, um diese Richtlinie in ihrem innerstaatlichen Recht umzusetzen. Der Zweck dieser europäischen Richtlinie besteht darin, den Bürgern aller Mitglied- staaten einen ausreichenden Schutz ihrer Privatsphäre zu gewährleisten und gleich- zeitig den freien Austausch von Personendaten innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums zu ermöglichen. Ausserdem zielt sie darauf ab, Wettbewerbsverzerrungen und das Risiko von Produktionsauslagerungen abzu- bauen. Die Richtlinie bezieht sich auf die Bearbeitung von Personendaten im öffent- lichen und im privaten Bereich, soweit diese Datenbearbeitungen in den Zuständig- keitsbereich der Europäischen Union fallen. Sie gilt somit nicht für die Datenbearbei- tung im Bereich der öffentlichen Sicherheit, der Verteidigung und der Staatssicher- heit. Zwischen dem öffentlichen und dem privaten Bereich wird kein Unterschied gemacht. Die Richtlinie legt die Voraussetzungen fest, unter denen eine automati- sierte oder nicht automatisierte Bearbeitung von Personendaten zulässig ist und zählt die Rechte der betroffenen Personen auf (insbesondere das Recht auf Informa- tion, das Auskunftsrecht, das Berichtigungsrecht, das Recht, eine Datenbearbeitung zu verweigern, sowie das Beschwerderecht). Sie bestimmt, welche Eigenschaften Personendaten aufweisen müssen (insbesondere Richtigkeit, rechtmässige und nicht gegen Treu und Glauben verstossende Beschaffung, rechtmässiger und sinn- voller Bearbeitungszweck, Vereinbarkeit, Verhältnismässigkeit), die Vertraulichkeit und die Bearbeitungssicherheit, die Bekanntgabe der Datenbearbeitungen und die Überwachung (unabhängige Kontrollbehörde mit Entscheidungsbefugnis und dem Recht, Klage einzureichen). Die Richtlinie nimmt, ausser bezüglich manueller Daten- bearbeitungen, nicht mehr auf Datensammlungen Bezug, sondern auf die Datenbe- arbeitung. Geregelt wird schliesslich auch der grenzüberschreitende Datenaus- tausch, der innerhalb der Europäischen Union nicht behindert werden darf. Der Da- tenaustausch mit Drittstaaten dagegen ist grundsätzlich nicht zulässig, wenn diese nicht über eine als genügend beurteilte Datenschutzgesetzgebung verfügen. Ein Zweck der Richtlinie besteht im weiteren darin, die in der Europarat-Konvention 108 enthaltenen Grundsätze zu präzisieren und auszubauen. Wir haben zuhanden des Vorstehers des EJPD einen ersten Bericht über die Konsequenzen der Richtlinie für die Schweiz ausgearbeitet. Wir sind darin zum Schluss gekommen, dass das Bun- desgesetz über den Datenschutz nicht in allen Punkten der europäischen Richtlinie entspricht. Unsere Gesetzgebung entspricht jedoch den Anforderungen der Konven- tion 108 und bietet in bezug auf die in der Richtlinie festgelegten Anforderungen ein ausreichendes und angemessenes Schutzniveau. Eine Anpassung des Gesetzes erscheint vor diesem Hintergrund gegenwärtig nicht notwendig. Es kann indessen nicht ausgeschlossen werden, dass eine Anpassung zu einem späteren Zeitpunkt notwendig wird, um unser Recht eurokompatibel zu gestalten. Bevor wir eine solche Anpassung in Betracht ziehen, sollten wir jedoch die Umsetzung der Richtlinie durch die Mitgliedstaaten in ihrem jeweiligen innerstaatlichen Recht abwarten. Die wichtigs- ten Lücken betreffen die Voraussetzungen für die Einwilligung, die Anforderungen in bezug auf den Zweck der Datenbearbeitung, die Bearbeitung von besonders schüt- zenswerten Daten, das Recht auf Information der betroffenen Personen, den Um- fang des Auskunftsrechts, die individuellen automatisierten Entscheidungen, die Haf- tung, die Bekanntgabe von Datenbearbeitungen (insbesondere im privaten Bereich) sowie die Entscheidungsbefugnisse der unabhängigen Kontrollbehörde.
W S@BDTU@S9@S96U@IT6HHGVIB@I
7vyh
U qr Tpuvr vtxrvrhsqvrv vr rirvqrr rUvtxrvir vpur uvtrvrruhirT&'q'% qrqvrF yyvtxrvqqvrSrtv vr th irvrs trr@vrrvyrvrWr ssryvputqrSrtvr qr 9hr hytrv7qriyhr sytqrpu Die Kontrolle und Registrierung der Anmeldungen von Datensammlungen und Mel- dungen von Datenbekanntgaben ins Ausland wurde fortgesetzt. Auf den kommen- den Sommer ist die Veröffentlichung eines Teils der Datensammlungen aus dem öffentlichen Bereich sowie aller Datensammlungen aus dem privaten Sektor, die uns angemeldet wurden, vorgesehen.
! 96U6S@BWr hytr
IhpuqrqhWr hytrqrSrtvr qr 9hrhytrtrvEhu v7r vrivqqhTrhst qqr trhpur@ shu trvvr qr xrhuhqqr hstrrrSrtvr rv trr r6htr6 t trq@vtrpuhsrqr @v trtrhpur qr
Während das Jahr 1994 im Zeichen der offiziellen Inbetriebnahme von DATAREG stand, wurden 1995 erste Erfahrungen mit dem System gesammelt und ausgewertet und Optimierungen am System vorgenommen. So wurden unter anderem Anregun- gen der meldenden Stellen aufgenommen, die Kontrollausdrucke neu überarbeitet und gestaltet, Felder neu aufgeteilt, Längen angepasst, die Benutzeroberfläche op- timiert.
Die nachfolgenden Ausführungen und Kennzahlen zu den registrierten Daten- sammlungen beziehen sich auf den Stand des Registers im Januar 1996.
Es wurden insgesamt 710 Datensammlungen registriert. Davon wurden 18 Einträge auf Hinweis der anmeldenden Stelle bereits wieder gelöscht. 605 Einträge stammen von Bundesorganen, 87 von Privaten. Von den 692 zur Zeit erfassten Registerein- trägen werden bis auf vier alle publiziert.
Auf den Anmeldeformularen sind siebzehn Kategorien von bearbeiteten Perso- nendaten zur Auswahl und als Beispiel vorgesehen. Insgesamt wurden im Register bis jetzt aber schon 685 Kategorien von bearbeiteten Personendaten aufgenommen. Diese Kategorien werden von den Einträgen 5187mal verwendet. Die Hitliste der Kategorien von bearbeiteten Personendaten wird angeführt von Adresse, Beruf, Na- tionalität/Heimatort, vor Identität und AHV-Nummer.
Es wurden 567 Kategorien von Datenempfängern und Beteiligten aufgenommen, welche 1578mal als Empfänger sowie 389mal als Beteiligte aufgeführt werden.
Bei den Einträgen für Bundesorgane wurden bis jetzt 286 verschiedene Rechts- grundlagen genannt. Diese werden 880mal verwendet.
Bisher wurden 666 Adressen von anmeldenden Stellen in das System aufge- nommen. Für die Einträge von Privaten wurden bis jetzt 16 Branchenkategorien ver-
geben.
WD 9@S@D9B@ITTTDT8C@96U@IT8CVUa7@6VAUS6BU@
6yhtr tqrTvrqr@9T7ar qr Thq7r hpu ayyvxsr
Der Sitz des EDSB und seines Sekretariates befindet sich seit März 1993 an der Monbijoustrasse 5, im Zentrum der Stadt Bern. Das Eidgenössische Justiz- und Poli- zeidepartement entschied am 2. April 1996, dass aufgrund von Sparmassnahmen der EDSB neu in Zollikofen, mit öffentlichen Verkehrsmitteln 25 Minuten vom Zent- rum der Stadt Bern entfernt, seinen Sitz begründen müsse. Mit diesem Entscheid wird die Erfüllung der vom Datenschutzgesetz vorgeschriebenen Aufgaben erheblich erschwert werden.
Im Hinblick auf die besonderen Aufgaben des EDSB hatte der Bundesrat bereits 1992 als Sitz des EDSB Bern bestimmt (Art. 30 Abs. 1 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz). Damit der EDSB seine Funktion als Beratungs- und Kontrollstelle für die Einhaltung des Datenschutzes wahrnehmen kann, müssen mit Bundesstellen, privaten Inhabern von Datensammlungen und mit Privatpersonen regelmässig Kontakte gepflegt werden (Sitzungen, Kontrollen, Au- genscheine, Seminarien, Konferenzen usw.). Die Wahrnehmung dieser Tätigkeiten erfordert somit eine nicht zu unterschätzende Mobilität des ganzen Sekretariates des EDSB. Bereits vor Inkrafttreten des Datenschutzgesetzes stand das Eidgenössische Justiz- und Polizeidepartement vor dem Entscheid, den EDSB ausserhalb der Stadt Bern anzusiedeln. Damals wurde die Notwendigkeit der zentralen Örtlichkeiten - bundesin- tern und für die ganze Schweiz - jedoch erkannt und der Entscheid über den schon damals vorgesehenen Umzug nach Zollikofen revidiert. In der Folge wurden wir an der Monbijoustrasse untergebracht.
Der Entscheid vom 2. April 1996 des Eidgenössischen Justiz- und Polizeidepar- tementes scheint unwiderruflich. Durch die Verlagerung des Sekretariates wird es erhebliche Einbussen an Arbeitszeit der Mitarbeiter geben. Von diesem Umstand ebenso betroffen werden sämtliche ratsuchenden Personen (Private und Bundesbe- hörden), die bei uns eine Konsultation wünschen. Abgesehen von der Erhöhung der Reisekosten, werden durch den unvermeidlichen Zeitverlust auch grössere administ- rative Kosten verursacht.
! 6sthirrvpxyt
Einen besonderen Zuwachs hatten wir in den Aufgabenbereichen der Telekom- munikation, des Gesundheitswesens und des Personalwesens. Die Überprüfung von angemeldeten Datensammlungen und die Entwicklung des Registers der Daten- sammlungen haben einen erheblichen Teil der Kapazitäten unserer Stelle bean- sprucht. Zudem erhalten wir vermehrt Anfragen aus der Bevölkerung, insbesondere zu Problemen der Überwachung am Arbeitsplatz, zum Einsatz der neuen Kommuni-
kationstechnologien, zum Bereich der Wirtschaftsauskunfteien und zu Fragen des Direktmarketings, um nur einige der Anfragenbereiche zu nennen.
" Ds hvqr Tssryvpuxrv
Auch während des vergangenen Geschäftsjahres haben der EDSB und seine Mitar- beiter an verschiedenen Informationsveranstaltungen, Konferenzen und Kolloquien Referate über Problembereiche des Datenschutzes gehalten.
Über die in Zermatt verwaltete Datensammlung über Journalisten, über Daten- schutzprobleme des INTERNET, und über die zweite schweizerische Konferenz der Datenschutzbeauftragten haben wir mittels Pressemitteilung die Öffentlichkeit infor- miert. In übrigen haben wir auch dieses Jahr eine beträchtliche Anzahl von Informa- tionsbroschüren an Private und Behörden verschickt.
Telefondienst des EDSB
Nebst den Anfragen, die bei uns schriftlich (siehe dazu auch Tabelle auf S. 91, 92) eingegangen sind, haben wir auch eine beträchtliche Anzahl von Anfragen tele- fonisch beantwortet. Die Tabellen (vgl. S. 93 - 95) gibt die verschiedenen telefonischen Anfragen nach Themen strukturiert wieder.
Am 20. Oktober 1995 fand in Bern unter reger Beteiligung von Vertreterinnen und Vertretern von kantonalen Datenschutzaufsichtsstellen die vom EDSB organisierte zweite schweizerische Konferenz der Datenschutzbeauftragten statt.
Folgende Themen wurden schwerpunktmässig behandelt: Das Auskunftsrecht im Gesundheitswesen, Vor- und Nachteile einer persönlichen Identifikationsnummer, Zugriff der Kantone auf Bundesanwendungen, EDV-Sicherheit Bund-Kantone, Volkszählung 2000, Verbesserung des Informationsaustausches zwischen kantona- len Datenschutzstellen und dem EDSB, die Tätigkeit der Eidgenössischen Daten- schutzkommission sowie die Bekanntgabe der Identität von Fahrzeughalterdaten über den Auskunftsdienst 111 und Swiss Online (Videotex). Zu diesem Thema wur- de eine Resolution verabschiedet, die fordert, dass alle Fahrzeughalter das Recht haben, die Veröffentlichung und Bekanntgabe ihrer Identität zu untersagen, ohne dies durch ein besonderes Interesse begründen zu müssen. Aufgrund der positiven Erfahrungen soll nun jährlich eine schweizerische Konferenz der Datenschutzbeauftragten stattfinden. Der Datenschutzbeauftragte des Kantons Zürich hat sich bereit erklärt, 1996 die Organisation zu übernehmen.
$ ThvvxAir qvrUvtxrvqr@vqtrvpur9hrpuirhs ht r
Zeitraum 1. April 1995 bis 31. März 1996
Fsr rrvyhur)
National International 25 15
6huyTvtr)
Bund Private Kantone Intern 101 35 1 Extern 194 22 1 Total 295 57 2
Anzahl der Stellungnahmen
Anzahl der Stellungnahmen
Telefonauskunft
Telefonauskunft nach Anfragenden
Telefonauskunft nach Sachgebiet
% 9hTrx rh vhqr@vqtrvpur9hrpuirhs htr
@vqtrvpur 9hrpuirhs htr ) Br Pqvy9 v
Stellvertreter: Walter Jean-Philippe, Dr. iur.
Trx rh vh)
Leiter: Walter Jean-Philippe, Dr. iur.
Stellvertreter: Buntschu Marc, lic. iur.
Delegierter für Information und Presse Tsiraktsopulos Kosmas, lic. iur.
Rechtsdienst: 9 Personen
Informatikdienst: 3 Personen
Kanzlei: 4 Personen
WDD 6IC6IB
@VSPQ6S6U
HDIDTU@SFPHDU@@
@HQA@CGVIBISS($#
9@THDIDTU@SFPHDU@@T6I9D@HDUBGD@9TU66U@I
aVHT8CVUaQ@STPI@I7@aPB@I@S96U@IDH7@S@D8C9@S A@SIH@G9@9D@ITU@I6H@IUGD8CDHCDI7GD8F6VA 9D@U@G@API9D@ITU@
htrrHvvr xvrrh&Ari h (($ hqr $!'Tvtqr Hvvr qryrtvr r
Das Ministerkomitee, gestützt auf Artikel 15.b der Satzung des Europarates,
In Erwägung, dass es das Ziel des Europarates ist, eine engere Verbindung zwischen seinen Mitgliedstaaten herzustellen;
Im Bewusstsein der zunehmenden Verwendung der Informatik im Bereich der Fern- meldedienste und der Vorteile, die der Benutzer aus den technologischen Entwicklun- gen insbesondere im Bereich der Telefondienste zieht;
Eingedenk, in diesem Zusammenhang, der Entwicklung in Richtung Digitalisierung der Netze sowie der damit verbundenen Vorteile für die Benützer der Fernmeldedienste;
In der Meinung jedoch, dass die technologische Entwicklung im Bereich des Fernmel- deverkehrs, besonders der Telefondienste, unter Umständen für das Privatleben des Benutzers Risiken sowie Einschränkungen seiner Kommunikationsfreiheit beinhalten kann;
In dieser Hinsicht bezugnehmend auf verschiedene neue Leistungsmerkmale, nament- lich im Bereich der Telefondienste, beispielsweise die Anzeige der Rufnummer des Anrufers anzeigen, die Anrufumleitung und die Mobiltelefone sowie die Vorrichtungen zur Identifizierung böswilliger Anrufe und die automatischen Anrufbeantworter;
Auch in der Feststellung der Risiken für das Privatleben und die Kommuni- kationsfreiheit, die durch Telefonrechnungen mit Angabe der angerufenen Nummern verbunden sind;
In Anerkennung, dass die Bestimmungen des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Strass- burg, 1981; S.T.E. 108) auf die Tätigkeiten automatisierter Datenverarbeitung durch Netzbetreiber und jede weitere Person, die Fernmeldedienste anbietet, anwendbar sind;
In der Meinung jedoch, dass es nötig ist, die allgemeinen Bestimmungen des Überein- kommens zu präzisieren, um sie der Erhebung und der Verarbeitung von personenbe- zogenen Daten durch Netzbetreiber und jede weitere Person, die Fernmeldedienste anbietet, anzupassen.
In der Feststellung des weiteren, dass bei den neuen Entwicklungen bei den Fernmel- dediensten der Achtung des Privatlebens und des Briefverkehrsgeheimnisses wie in Artikel 8 der Europäischen Menschenrechtskonvention garantiert, unterworfen sind;
Empfiehlt den Mitgliedstaaten:
im innerstaatlichen Recht und in der innerstaatlichen Praxis die Grundsätze zu berücksichtigen, die im Anhang zu dieser Empfehlung aufgeführt sind;
jede Behörde, die bei der Umsetzung einer nationalen Datenschutz- und Fernmeldeverkehrspolitik mitwirkt, auf diese Empfehlung aufmerksam zu ma- chen;
sich zu vergewissern, dass die Netzbetreiber, die Anbieter von Fernmel- dediensten, die Hersteller von Hardware- und Software, die Unternehmen, wel- che den Fernmeldeverkehr für Zwecke der Direktwerbung benützen, sowie die Organe, welche sie vertreten, und die Konsumentenorganisationen auf die Be- stimmungen dieser Empfehlung aufmerksam gemacht wurden;
die Bestimmungen dieser Empfehlung innerhalb der verschiedenen inter- nationalen Fernmeldeorgane zu fördern;
Anhang zur Empfehlung Nr. R (95) 4
1.1. Die Grundsätze in dieser Empfehlung sind auf die Netzbetreiber und Diensteanbieter anwendbar, die in ihrer Tätigkeit personenbezogene Daten er- heben und verarbeiten.
1.2. Diese Grundsätze sind auf personenbezogene Daten anwendbar, die auto- matisiert verarbeitet werden.
Die Mitgliedstaaten können die in dieser Empfehlung erwähnten Grundsätze auf personenbezogene Daten, die manuell verarbeitet werden, erweitern.
1.3. Die Mitgliedstaaten können die in dieser Empfehlung erwähnten Grundsätze auf die Erhebung und die Verarbeitung von personenbezogenen Daten juristischer Personen erweitern.
1.4. Im Sinne dieser Empfehlung bedeuten die Ausdrücke:
"Fernmeldedienste": die verschiedenen angebotenen Dienstleistungen mittels Fernmeldenetzen, welche den Benützern ermöglichen, miteinander zu kommu- nizieren oder mündlich, schriftlich, über Bild oder Datenübermittlung zu korres- pondieren;
"Netzbetreiber": jede öffentliche oder private Stelle, welche die Benutzung eines Fernmeldenetzes verfügbar macht;
"Diensteanbieter": jede öffentliche oder private Stelle, die unter Verwendung eines von einem Netzbetreiber zur Verfügung gestellten Netzes oder ihres eige- nen Netzes Fernmeldedienste anbietet und verwaltet.
2.1. Die Fernmeldedienste und insbesondere die in Entwicklung befindlichen Tele- fondienste sollen unter Achtung der Privatsphäre der Benützer, des Briefsge- heimnisses und der Kommunikationsfreiheit angeboten werden.
2.2. Die Netzbetreiber und die Diensteanbieter sowie die Anbieter von Hardware- und Software sollen die Informationstechnologie dahingehend nutzen, Netze, Hardware und Software herzustellen und zu betreiben, die eine Wahrung der Privatsphäre der Benützer gewährleisten.
Es sollen anonyme Systeme für den Zugang zu Fernmeldenetzen und -diensten zur Verfügung gestellt werden.
2.3. Sofern dazu keine Bewiligung aus Gründen der technischen Speicherung oder Übermittlung, anderen rechtmässigen Gründen oder zur Erfüllung eines Dienst- leistungsvertrags mit einem Teilnehmer vorliegt, soll jede Einmischung in den Inhalt der Mitteilung durch Netzbetreiber oder Diensteanbieter untersagt sein. Unter Vorbehalt des Grundsatzes 4.2. dürfen die den Inhalt der Mitteilung betreffenden Daten, die bei einer solchen Einmischung erhoben werden, nicht an Dritte weitergegeben werden.
2.4. Die Einmischung der öffentlichen Behörden in den Inhalt einer Mitteilung, ein- schliesslich die Verwendung von Mithör- und Aufzeichnungseinrichtungen oder anderer Überwachung- oder Abhörvorrichtungen ist nur zulässig, wenn dies durch Gesetz vorgesehen ist und eine in einer demokratischen Gesellschaft notwendige Massnahme ist:
a. zum Schutz der Sicherheit des Staates, der öffentlichen Sicherheit, der Währungsinteressen des Staates oder zur Bekämpfung von Straftaten;
b. zum Schutz der betroffenen Person und der Rechte und Freiheiten Dritter.
2.5. Im Falle der Einmischung öffentlicher Behörden in den Inhalt einer Mitteilung sollen im innerstaatlichen Recht festgelegt werden:
a. die Ausübung der Auskunfts- und Berichtigungsrechte durch die betroffene Per- son;
b. die Voraussetzungen, unter denen die zuständigen öffentlichen Behörden be-
rechtigt sind, der betroffenen Person Auskünfte zu verweigern oder die Erteilung dieser Auskünfte aufzuschieben;
c. die Aufbewahrung oder die Vernichtung dieser Daten.
Wenn ein Netzbetreiber oder Diensteanbieter von einer öffentlichen Behörde mit einer Einmischung beauftragt ist, so dürfen die so erhobenen Daten nur der in der Genehmigung für diese Einmischung bezeichneten Stelle mitgeteilt wer- den.
2.6. Das innerstaatliche Recht soll die Voraussetzungen und Garantien festlegen, unter denen die Netzbetreiber berechtigt sind, technische Mittel zur Lokalisie- rung von böswilligen oder missbräuchlichen Anrufen einzusetzen.
3.1 Die Erhebung und Verarbeitung personenbezogener Daten im Bereich des Fernmeldeverkehrs soll im Rahmen einer Datenschutzpolitik vorgenommen und entwickelt werden und die Bestimmungen des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, insbesondere den Grundsatz der Zweckbindung, berücksichtigen.
Unbeschadet anderer in dieser Empfehlung vorgesehenen Zwecken sollen die personenbezogenen Daten von den Netzbetreibern und den Diensteanbietern nur zu Zwecken des Netzanschlusses und der Zurverfügungstellung eines be- stimmten Fernmeldedienstes, zu Rechnungszwecken und zur Zahlungsüber- prüfung sowie zur Sicherstellung der optimalen technischen Umsetzung und der Entwicklung des Netzes und des Dienstes erhoben und verarbeitet werden.
3.2. Die Netzbetreiber und die Diensteanbieter sollen die Abonnenten der Fern- meldedienste in geeigneter Form über die Kategorien der sie betreffenden erho- benen und verarbeiteten personenbezogenen Daten, über die rechtliche Grund- lage der Erhebung, über die Zweckbestimmung der Erhebung und der Bearbei- tung sowie über die Verwendung und Aufbewahrungsdauer informieren.
4.1. Die personenbezogenen Daten, die von den Netzbetreibern oder den Diensteanbietern erhoben und verarbeitet werden, sollen nicht bekanntgegeben werden, oder ausser wenn der betroffene Abonnent schriftlich nach Belehrung seine ausdrückliche Zustimmung gegeben hat und die angerufenen Abonnen- ten nicht aufgrund der mitgeteilten Information bestimmbar sind.
Der Abonnent kann seine Zustimmung jederzeit, jedoch nicht rückwirkend, wi- derrufen.
4.2. Die von den Netzbetreibern oder den Diensteanbietern erhobenen und verarbei- teten personenbezogenen Daten können den öffentlichen Behörden be- kanntgegeben werden, wenn diese Bekanntgabe vom Gesetz vorgesehen ist und eine in einer demokratischen Gesellschaft notwendige Massnahme ist:
a. zum Schutz der Sicherheit des Staates, der öffentlichen Sicherheit, der Wäh-
rungsinteressen des Staates oder zur Bekämpfung von Straftaten;
b. zum Schutz der betroffenen Person und der Rechte und Freiheiten Dritter.
4.3. Im Falle der Bekanntgabe personenbezogener Daten an öffentliche Behörden soll das innerstaatliche Recht festlegen:
a. die Ausübung der Auskunfts- und Berichtigungsrechte durch die betroffene Per- son;
b. die Bedingungen, unter denen die zuständigen öffentlichen Behörden berechtigt sind, der betroffenen Person die Auskunft zu verweigern oder die Erteilung der Auskunft aufzuschieben;
c. die Aufbewahrung oder die Vernichtung dieser Daten.
4.4. Die Listen der Abonnenten, die personenbezogene Daten enthalten, können von den Netzbetreibern oder den Diensteanbietern nur an Drittpersonen be- kanntgegeben werden, wenn eine der nachstehenden Bedingungen erfüllt ist:
a. der Abonnent hat schriftlich nach Belehrung seine ausdrückliche und klare Zu- stimmung gegeben; oder
b. der Abonnent hat, nachdem er über die vorgesehene Bekanntgabe informiert worden ist, keinen Einwand geäussert; oder
c. die mit dem Datenschutz beauftragte Behörde hat die Bekanntgabe bewilligt; oder
d. die Bekanntgabe ist im innerstaatlichen Recht vorgesehen.
Der Abonnent kann seine Zustimmung jederzeit aber nicht rückwirkend widerrufen
4.5. Die Bekanntgabe von personenbezogenen Daten unter Netzbetreibern und Diensteanbietern ist erlaubt, wenn diese Bekanntgabe zu Betriebs- und Rech- nungszwecken erforderlich ist.
5.1. Jeder Abonnent soll auf Gesuch und in verhältnismässigen Abständen, ohne übermässige Frist oder Kosten alle ihn betreffenden Daten, die von Netzbetrei- bern oder Diensteanbietern erhoben und verarbeitet werden, erhalten können und sie berichtigen oder löschen lassen, wenn sie unrichtig, nicht stichhaltig oder übermässig sind, oder wenn sie während einer unver-hältnismässig langen Zeit aufbewahrt wurden.
5.2. Das Eingehen auf gemäss Grundsatz 5.1. formulierte Gesuche kann verweigert, einge-schränkt oder aufgeschoben werden, wenn das Gesetz dies erlaubt und wenn dies in einer demokratischen Gesellschaft eine notwendige Massnahme ist:
a. zum Schutz der Sicherheit des Staates, der öffentlichen Sicherheit, der Wäh-
rungsinteressen des Staates oder zur Bekämpfung von Straftaten;
b. zum Schutz der betroffenen Person und der Rechte und Freiheiten Dritter.
6.1. Die Netzbetreiber und die Diensteanbieter sollen alle geeigneten technischen und organisatorischen Massnahmen ergreifen, um die physische und logische Sicherheit des Netzes, der Dienste und der von ihnen erhobenen und verarbei- teten Daten sicherzustellen, und jede unerlaubte Einmischung und jedes uner- laubte Abfangen von Mitteilungen verhindern.
6.2. Die Abonnenten der Fernmeldedienste sollen über die Risiken der Verletzung der Netzsicherheit informiert werden sowie über die Art, wie sie diese Si- cherheitsrisiken bei ihren Mitteilungen begrenzen können.
a.Verzeichnisse
7.1. Die Abonnenten sollen kostenlos und ohne Begründung das Recht haben, ab- zulehnen, dass ihre personenbezogenen Daten in einem Verzeichnis aufgeführt werden.
Wenn jedoch das innerstaatliche Recht fordert, dass bestimmte Daten in einem Verzeichnis enthalten sind, soll der Abonnent seine Daten mit Begründung aus- schliessen können.
Wenn das innerstaatliche Recht von einem Abonnenten eine Zahlung fordert, damit seine Daten nicht in einem Verzeichnis erscheinen, soll diese Zahlung ei- nen angemessenen Betrag darstellen und in keinem Fall vom Gebrauch dieses Rechts abhalten.
7.2. Wenn ein Abonnent möchte, dass die Mitbenützer seines Endgerätes in einem Verzeichnis eingetragen sind, soll er vorgängig deren Zustimmung erhalten ha- ben.
7.3. Unter Vorbehalt von Fällen, in denen der Abonnent zusätzliche ihn betreffende Daten im Eintrag wünscht, sollen die personenbezogenen Daten, die im Ver- zeichnis aufgeführt werden, auf die zur angemessenen Festlegung eines ein- zelnen Abonnenten und zur Begrenzung von Verwechslungen zwischen oder unter verschiedenen im Verzeichnis aufgenommenen Abonnenten notwendigen Daten begrenzt werden.
7.4. Bei der Einsicht in ein elektronisches Teilnehmerverzeichnis sollen technische Mittel geschaffen werden, um Missbräuchen, insbesondere dem unerlaubten Fernladen, vorzubeugen.
Das Zusammenstellen von in einem elektronischen Teilnehmerverzeichnis ent- haltenen Daten mit anderen Daten oder anderen Datensammlungen soll verbo- ten sein, ausser wenn das innerstaatliche Recht dies erlaubt oder wenn es für die Netzbetreiber oder die Diensteanbieter zu Betriebszwecken notwendig ist.
7.5. Die in einem Verzeichnis enthaltenen Daten können von den Netzbetreibern oder den Diensteanbietern zu Zwecken der Verwaltung eines Auskunftsdienstes für punktuelle Anfragen verwendet werden. Alle Auskünfte sollen auf die Be- kanntgabe von im Verzeichnis enthaltenen Daten beschränkt werden. Es sollen Massnahmen zur Bekämpfung von Missbräuchen getroffen werden. Der Aus- kunftsdienst soll keine Information über Abonnenten erteilen, die nicht im Ver- zeichnis eingetragen sind, ausser mit deren schriftlich nach Belehrung gegebe- ner Zustimmung.
7.6. Die Verwendung von im Verzeichnis eingetragenen Daten ist zudem durch die betreffenden Grundsätze der Empfehlung Nr. R (91) 10 über die Übermittlung der von öffentlichen Stellen gespeicherten personenbezogenen Daten an Dritte geregelt.
b.Verwendung der Daten für Zwecke der Direktwerbung
7.7. Die Grundsätze der Empfehlung Nr. R (85) 20 zum Schutz personenbezogener Daten bei der Verwendung für Zwecke der Direktwerbung sind auf die Verwen- dung von Abonnentendaten für Zwecke der Direktwerbung durch Dritte an- wendbar.
7.8. Das innerstaatliche Recht soll geeignete Garantien aufstellen und die Bedin- gungen festlegen, unter denen die Abonnentendaten von Netzbetreibern, Diensteanbietern und Dritten für Zwecke der Direktwerbung mittels Telefon oder anderer Telekommunikationsmittel verwendet werden dürfen.
7.9. Die Erarbeitung von Verhaltenskodizes soll gefördert werden, um sicherzu- stellen, dass die verwendete Praxis den Abonnenten keine Unannehmlichkeiten bereitet. Insbesondere sollen das innerstaatliche Recht oder die Verhaltensko- dizes die Zeit, in der Telefonwerbung betrieben werden kann, die Natur der Meldungen und die Art ihrer Übermittlung behandeln.
7.10. Die Direktwerbung mittels Telefon oder anderer Telekommunikationsmittel kann gegenüber keinem Abonnenten ausgeübt werden, der den Wunsch geäussert hat, keine Werbemeldungen erhalten zu wollen. Zu diesem Zweck sollen geeig- nete Mittel zur Bestimmung der Abonnenten entwickelt werden, die keine Wer- bemeldungen am Telefon erhalten möchten.
7.11. Die automatischen Anrufbeantworter für die Übermittlung von vorregistrierten Werbemeldungen können nur an die Abonnenten übermittelt werden, die ge- genüber den Anbietern dieser Dienste dazu nach Belehrung ihre ausdrückliche Zustimmung gegeben haben. Der Abonnent kann seine Zustimmung jederzeit widerrufen.
c.Detaillierte Rechnung
7.12. Die Netzbetreiber und die Diensteanbieter sollen die Rechnungen mit de- taillierter Angabe der Nummern der angerufenen Abonnenten nur auf Gesuch eines Abonnenten zur Verfügung stellen. Es soll die Privatsphäre der Mitbenüt- zer und der Sprechpartner geschützt werden. 7.13. Die für die Rechnungstellung notwendigen Daten sollen von den Netzbetreibern oder den Diensteanbietern nicht länger aufbewahrt werden, als es hinsichtlich
Zahlungsfristen unbedingt notwendig ist. Dabei bleibt zu berücksichtigen, dass Daten während einer angemessenen Zeit für den Fall von mit Rechnungen ver- bundenen Beschwerden aufbewahrt werden müssen oder dass gesetzliche Be- stimmungen eine längere Aufbewahrung dieser Daten verlangen können.
d.Interne Fernsprechsysteme
7.14. Grundsätzlich sollen die Personen mit geeigneten Mitteln darüber informiert werden, dass die mit der Verwendung eines Telefons verbundenen Daten vom Inhaber der Linie erhoben und verarbeitet werden. Die Daten sollen unmittelbar nach der Begleichung der Rechnung gelöscht werden.
7.15. Die Grundsätze der Empfehlung Nr. R (89) 2 zum Schutz personenbezogener Daten für Beschäftigungszwecke sind auf die Verwendung durch Arbeitgeber von automatischen Teilnehmervermittlungsanlagen am Arbeitsplatz anwendbar.
e.Anzeige der Rufnummer des Anrufers
7.16. Die Einführung eines technischen Merkmals, das die Sichtbarmachung der Te- lefonnummer eines eingehenden Anrufs auf dem Endgerät des angerufenen Abonnenten ermöglicht, sollen alle Abonnenten darüber informiert werden, dass bestimmte Abonnenten über dieses Merkmal verfügen können und es deshalb möglich ist, dass ihre Telefonnummer dem angerufenen Abonnenten enthüllt wird.
Die Einführung dieses Merkmals soll für den anrufenden Abonnenten von der Möglichkeit begleitet sein, durch ein einfaches Mittel die Anzeige seiner Tele- fonnummer auf dem Endgerät des angerufenen Abonnenten zu unterdrücken.
7.17. Das innerstaatliche Recht soll die Bedingungen und Garantien festlegen, nach denen die Netzbetreiber berechtigt oder verpflichtet sind, die Entscheidung des Anrufenden, dass die Anzeige seiner Nummer auf dem Bildschirm des Ange- rufenen unterdrückt wird, zu übergehen.
f.Anrufumleitung
7.18. Es soll die Möglichkeit von Mechanismen geprüft werden, die es einem Dritt- abonnenten ermöglichen, im Falle von Uneinigkeit die Annulierung einer An- rufumleitung zu erlangen.
7.19. Sofern die Überwachung oder das Abhören von eingehenden und abgehenden Anrufen eines Abonnenten in Übereinstimmung mit den Bestimmungen des Grundsatzes 2.4. über das Abhören von Übermittlungen erlaubt ist, sollen die Überwachungs- und Abhörmassnahmen nicht alle beim Endgerät des Dritt- abonnenten eingehenden Anrufe betreffen, sondern lediglich diejenigen, die Gegenstand einer Umleitung sind.
g.Mobiltelefone
7.20. Was das Angebot und die Betreibung eines Mobiltelefondienstes betrifft, so sol- len die Netzbetreiber und die Diensteanbieter die Abonnenten über die mit der Verwendung von Mobiltelefonnetzen verbundenen Risiken der Verletzung des
Briefverkehrsgeheimnisses informieren, besonders, wenn der Funk nicht ver- schlüsselt ist. Es sollen Mittel geschaffen werden, die es den Abonnenten von Mobiltelefondiensten ermöglichen, ihre Mitteilungen zu verschlüsseln, oder sonst gleichwertige Garantien bieten.
7.21. Es sollte beachtet werden, dass es zur Rechnungstellung für die Verwendung eines Mobiltelefons nicht erforderlich ist, Daten zu speichern, die eine allzu ge- naue Lokalisierung des Abonnenten oder der angerufenen Partei zum Zeitpunkt der Verwendung enthüllen.
Hr r htsA qvrTvpur ryytrvrtyrvpur vtr9hrpurv Shurqrt rAir pu rvrqr9hrr xru *
HqryyxyhrysA qvr@vsAttvrvrThqh qr ht
trrvhr h irvrqrsytrqrDhr)
@ h h Fvvqr @ vpurBrrvpuhsr Dr hvhyrChqryxhr
Der Zedent und der Zessionar vereinbaren die Abtretung des Nutzungsrechts an Personendaten gegen die Entrichtung eines Betrags in Höhe von ....
Die Vereinbarung zwischen den Parteien untersteht den nachstehenden Be- dingungen:
Wr syvputqrarqrr
Der Zedent bestätigt und gewährleistet dem Zessionar, dass die Datenüber- tragung an den Zessionar rechtmässig ist und dass die Daten in Überein- stimmung mit dem innerstaatlichen Recht
a. in zulässiger und rechtmässiger Weise erhoben und bearbeitet wurden;
b. zu bestimmten, gesetzlich vorgesehenen Zwecken erfasst wurden und nicht in einer Weise verwendet werden, die sich nicht mit diesen Zwecken vereinba- ren lässt;
c. für die Zwecke, zu denen sie abgetreten werden, angemessen, relevant und verhältnismässig sind;
d. genau sind und sich auf dem neuesten Stand befinden;
e. über eine Aufbewahrungsbewilligung für die Dauer von ... verfügen.
! Wr syvputrqrarvh
Der Zessionar erklärt und gewährleistet seinerseits, die Daten nur in einer Weise zu nutzen, welche die Grundsätze in den Erklärungen und Garantien des Zedenten in allen Punkten respektiert, und auf jegliche Bearbeitung oder Nutzung der Daten zu verzichten, die im Widerspruch zum Vertrag steht. Zu diesem Zweck sagt der Zessionar zu, insbesondere die folgenden Verpflich- tungen einzuhalten, wobei die nachstehende Aufzählung nicht abschliessend ist:
a. der Zessionar benutzt die Daten ausschliesslich zu den nachstehend aufge- führten Zwecken; alle anderen Zwecke sind ausgeschlossen: (6s#uytqr
Der erläuternde Bericht zu diesem Mustervertrag kann in französischer oder englischer Sprache beim Sekretariat des Eidgenössischen Datenschutzbeauftragten bezogen werden.
y#vtrarpxr);
b. der Zessionar verzichtet darauf, Personendaten zu bearbeiten, welche die Rassenzugehörigkeit, die politische Zugehörigkeit, die religiösen oder andere Überzeugungen, die Gesundheit, das Sexualleben oder das Strafregister be- treffen, es sei denn, diese Bearbeitung werde durch dieselben Garantien ge- schützt, die auch kraft des innerstaatlichen Rechts des Zedenten zur Anwen- dung gelangt wären;
c. vorbehältlich allfälliger in seinem innerstaatlichen Recht vorgesehenen und ausdrücklich aufgeführten Verpflichtungen nutzt der Zessionar die Daten aus- schliesslich zum eigenen Gebrauch und übermittelt sie weder unentgeltlich noch gegen ein Entgelt an andere natürliche oder juristische Personen;
d. der Zessionar berichtigt, löscht oder aktualisiert die Daten unverzüglich, so- bald ihm der Zedent dahingehende Anweisungen erteilt. Der Zessionar ver- pflichtet sich insbesondere, die Gesamtheit oder einen Teil der Daten zu be- richtigen, zu ergänzen oder zu löschen, falls sich diese Massnahmen auf- grund des im Staat des Zedenten geltenden Rechts oder aufgrund von neuen Umständen im Staat des Zedenten als erforderlich erweisen; der Zedent teilt dem Zessionar diese Umstände mit und begründet sie, sobald sie im Staat des Zedenten in die Gesetzgebung aufgenommen wurden.
Der Zessionar verpflichtet sich, den betroffenen Personen unter den gleichen Bedingungen, wie sie im innerstaatlichen Recht des Zedenten vorgesehen sind, das Recht auf Auskunft über ihre Daten sowie das Recht auf Berichti- gung und Löschung dieser Daten zu gewähren.
Falls der Zessionar den betroffenen Personen das Recht auf Auskunft über ihre Daten oder die von der betroffenen Person verlangte Berichtigung oder Löschung verweigert, wird der Zedent:
den Vertrag gemäss den Bedingungen und mit den in Klausel 5 vorgesehenen Folgen auflösen, oder
das Verfahren zur Bestimmung eines Schiedsrichters einleiten, das in Klausel 4 vorgesehen ist.
" Chstq@puqvtt
Der Zessionar haftet für die Nutzung der Daten, die durch den Zedenten ü- bermittelt wurden.
Der Zessionar verpflichtet sich, den Zedenten für jede Nichterfüllung seiner Verpflichtungen aus dem vorliegenden Vertrag sowie für jedes Verschulden und jede offenkundige Fahrlässigkeit im Zusammenhang mit der Erfüllung des Vertrags zu entschädigen.
6trhqrr y#r qr7r vpu)
"&9vrQh rvrrvrHr r htqr rvrWr htvHqryyxyhry rrvtrrvtrrTrs qvr7rvyrttqr T rvvtxrvr rurqvrhqr @ syytqrHr r htqr qr Hqryyxyhryrrurx=r
Tvrx=rvu rT rvvtxrvrrvrTpuvrqtr vpuqr rvrThpur #qvtr yrtr
"'AhyyqvrWr hth rvrirpuyvrrvpus qvr7rvyrttvu r T rvvtxrvr h rv Tpuvrqtr vpu rqr x=r vr vpu hs qvr Tpuvrq rtry qr 8IV98Dqr qr D88irvrurqqvrHqryy rtryqvrr P thvhvrhr qr
Schiedsklausel (CNUDCI): “Alle Rechtsstreitigkeiten, Meinungsverschiedenheiten oder Beanstandungen, die aus dem vorliegenden Vertrag entstehen oder die im Zusammenhang mit dem Ver- trag oder mit einer Verletzung, der Auflösung oder der Nichtigkeit des Vertrags ste- hen, werden durch ein Schiedsgericht gemäss dem zur Zeit geltenden Schiedsreg- lement der CNUDCI entschieden.”
Schiedsklausel (ICC): “Alle Rechtsstreitigkeiten aus dem vorliegenden Vertrag werden gemäss dem Schlichtungs- und Schiedsreglement der Internationalen Handelskammer endgültig durch einen oder mehrere Schiedsrichter entschieden, die in Übereinstimmung mit diesem Reglement ernannt werden.”
@rsvruyvpuqvrrTpuvrqxyhryHqryyrv#yvpur@yrrrr t#r)
qr vTpuvrqr shu rr rqrrT hpur qrP qrTpuvrqr shu r qr ahuyqr Tpuvrq vpur
Ahyy qr Wr ht wrqpu qr t rir pu rvrqr 9hrr xru Duhy uhx=rqvrQh rvrs qvr7rvtqr Tpuvrq vpur qhhpururqr Wr shu rsryrtr)
HErqrWr hth rvr rrvrTpuvrq vpur rypurvu r rvtrrvhrv rq vrTpuvrq vpur hrvr GvrQr rh#uyrqvrir h rqr6puqrBir rvxrTpuqrHrpurirvqr hh vpur Wr h irvt r rirtrr 9hr r ryy qr
9vrr q vr Tpuvrq vpur su qr W v qr Tpuvrqtr vpu Ahyy vpu qvr qr Wr hth rvrr hrTpuvrq vpur vpuvr uhyiq rvvtUhtrir qvr @ rtqrq vrTpuvrq vpur rvvtrx=rv qqvrr qr D88qr qr @ rtvhrypurqvrWr hth rvrs qhTpuvrqr shu r tr#uyuhirvBir rvvtvvu rTpuvrq rtryirvJ
BrtrirrshyyxhqvrrFyhryhpuvtrvpurWr #trirr qr
"(Ahyyqr Wr htFyhryir qrt rir pu rvrqr9hrr xru r u#y vpu wrqpu vpu hs qvrr Brtrhq irpu #x x=r qvr Wr
Die Liste der Schiedsrichter kann beim Sekretariat des Europarats bezogen werden.
hth rvr#u rqqrChr shu r qrTpuvrqtr vpus qvrr7r rvpurvrThpur #qvtruvvrur
A qvrr Ahyy x=r qvr Wr hth rvr rur qh qr irvrqr Thpur #qvtrhrvr Gvrhtr#uyv qqvrir hrqr6pu qrBir rvxrTpuqrHrpurirvqr hhvpurWr h irv t r rirtrr 9hrr ryy qr9vrr Thpur #qvtrr ryyrv BhpuruhqrqrTpuvrqtr vpu
$ 6sytqrWr ht
Falls der Zessionar bei der Erfüllung des Vertrags gegen Treu und Glauben ver- stösst oder falls er sich insbesondere weigert, sich dem Entscheid der Schiedsrichter zu beugen, behält sich der Zedent das Recht vor, den Vertrag - unbeschadet einer allfälligen Schadenersatzforderung - per eingeschriebenen Brief mit Empfangsbestä- tigung oder durch ein anderes, gleichwertiges Mittel aufzulösen.
Im Zeitpunkt der Auflösung des Vertrags löscht der Zessionar die Daten endgültig und teilt dies dem Zedenten mit.
Bei Nichtbeachtung dieser Klausel verpflichtet sich der Zessionar zur Bezahlung ei- nes Betrags in Höhe von ... an den Zedenten.
6rqih rSrpu 6thqrr y#r qr7r vpu
!$9rWr hth rvrrurs rvqhhsqrWr htvpurqrarqrr qqrarvh hrqih rSrpuirvrTvryyrvwrqrAhyyh q pxyvpuhtrirrypurSrpuvrtr#uyuhirAhyyqhhrqih rvr hhyvpur Srpu rvr irr r Tpu qr Qr rqhr vpur ryy v q qr arqrrrsuyrir sriqvrFyhryr rpurqr t#r qr r