2 Eidgenössischer Datenschutzbeauftragter Tätigkeitsbericht 1998/99 Der Eidgenössische Datenschutzbeauftragte hat dem Bundesrat periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 Datenschutzgesetz). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 1998 und 31. März 1999 ab.
3 ,1+$/769(5=(,&+1,6 ,1+$/769(5=(,&+1,6.............................................................................................................................3 925:257........................................................................................................................................................7 $%.h5=8169(5=(,&+1,6.............................................................................................................13 , $86(:b+/7(7+(0(1.............................................................................................................15 3ROL]HLZHVHQ.................................................................................................................................................15 1.1.Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs – Beratung in den Räten .......................................................................................................................................15 1.2.Schaffung gesetzlicher Grundlagen für Personenregister durch das Bundesamt für Polizeiwesen ....17 1.3.Besuch beim Kontrolldienst DOSIS/ISOK des Bundesamtes für Polizeiwesen.................................19 1.4.Verordnung über das Datenverarbeitungssystem zur Bekämpfung der Falschmünzerei, des Menschenhandels und der Pornografie ..............................................................................................23 1.5.Bearbeitung von Personendaten im Zentralen Aktennachweis (ZAN) gemäss Betäubungsmittelgesetz......................................................................................................................25 1.6.Zugriff von Strafanstalten auf RIPOL ................................................................................................26 1.7.Videokamera im Baregg-Tunnel – AFNES........................................................................................27 1.8.Transportierbarkeit von Daten der Datenbank «Identitätskarte» in das Textverarbeitungs- system WORD ...................................................................................................................................28 1.9.Unchiffrierte Übermittlung von Meldungen auf Geldwäschereiverdacht per Fax..............................29 1.10. Verordnung über das Register der Kontrollstelle für die Bekämpfung der Geldwäscherei................29 1.11. Melde- und Übermittlungszentrale beim Bundesamt für Polizeiwesen ..............................................30 1.12. Ausweisschriften ................................................................................................................................32 1.13. Projekt Casino 2000 ...........................................................................................................................33 1.14. Arbeitsgruppe «Informationspolitik der Strafverfolgungsbehörden des Bundes» ..............................34 1.15. Privatisierungsabsichten versus Polizei-Datenbanken........................................................................35 1.16. Ausübung des indirekten Auskunftsrechts für das ISIS-System der Bundespolizei* .........................36 1.17. « Online »-Inspektion der Geschäftsprüfungskommission des Ständerates*......................................40 $XVOlQGHUXQG$V\OUHFKW...........................................................................................................................42 2.1.Echtzeit-Übertragung von Daten aus dem Zentralen Ausländerregister*...........................................42 7HOHNRPPXQLNDWLRQXQG3RVW.....................................................................................................................44 Telekommunikation .......................................................................................................................................44 3.1.Bearbeitung von Personendaten im Telekommunikationsbereich ......................................................44 3.2.Inkasso der Radio und Fernsehgebühren............................................................................................48 3.3.Das Bonusprogramm «Joker» der Swisscom .....................................................................................49 Post...........................................................................................................................................................50 3.4.GEO-POST - Georeferenzierte Gebäudedatensammlung der schweizerischen Post..........................50 3.5.Bekanntgabe von Namen von Postfachinhabern durch die Post ........................................................51 ,QWHUQHWXQGGDWHQVFKXW]IUHXQGOLFKH7HFKQRORJLHQ.................................................................................52 4.1.Datenschutzkonforme Gestaltung einer Website und die damit verbundenen Vorteile .....................52 4.2.Empfehlungen zum Schutz der Privatsphäre für Internet Benutzer....................................................53 4.3.Schutz der Privatsphäre durch datenschutzfreundliche Technologien ...............................................54 'DWHQVFKXW]XQGHFRPPHUFH.....................................................................................................................56 5.1.Mindestanforderungen für den Schutz der Privatsphäre im Umfeld des elektronischen Handels ......56
4 3HUVRQDOZHVHQ..............................................................................................................................................58 Bundesverwaltung..........................................................................................................................................58 6.1.Die Bekanntgabe von Photos des Personals der Bundesverwaltung* ................................................58 6.2.Bekanntgabe von Disziplinarverfügungen mit Begründung und Gesundheitsdaten ...........................59 6.3.Bekanntgabe von Arbeitslosendaten an die Schuldbetreibungsbehörden...........................................60 6.4.Beamtengesetzgebung und BV-PLUS................................................................................................62 6.5.Aufzeichnung der Benutzeraktivitäten beim Einsatz des Internets in der Bundesverwaltung ............64 Privatbereich ..................................................................................................................................................65 6.6.Linkshändige Zeichner auf Arbeitssuche ...........................................................................................65 6.7.Gesamtarbeitsverträge und Datenschutz ............................................................................................67 6.8.Drogenfreie Konzepte und Datenschutz.............................................................................................68 9HUVLFKHUXQJVZHVHQ....................................................................................................................................70 Sozialversicherungen .....................................................................................................................................70 7.1.Anpassung der Sozialversicherungsgesetzgebung an dasDatenschutzgesetz .....................................70 7.2.«Vergessene» Pensionskassenguthaben..............................................................................................71 7.3.Illegale Risikoselektion im Bereich der Obligatorischen Krankenpflegeversicherung ......................72 7.4.Prozessanalyse im Sozialversicherungsbereich ..................................................................................73 7.5.Expertenkommission für den Persönlichkeitsschutz in der sozialen und privaten Kranken- und Unfallversicherung .............................................................................................................................74 7.6.Die Praxis der Auskunftserteilung im Militärversicherungsbereich ...................................................75 7.7.Fälle aus dem AHV/IV-Bereich .........................................................................................................76
5 :HUEXQJXQG'LUHNWPDUNHWLQJ................................................................................................................108 11.1. Methoden zur Beschaffung von Personendaten - Konsumenten geben naiv Informationen über ihre Privatsphäre preis !...........................................................................................................................108 11.2. Versand von unerwünschter e-mail Werbung ..................................................................................109 11.3. Vereine: Weitergabe von Mitgliederlisten an Dritte ........................................................................111 11.4. Weitergabe von Personendaten durch kommunale Behörden für kommerzielle Zwecke.................112 6WDWLVWLN.......................................................................................................................................................113 12.1.Volkszählung 2000 ......................................................................................................................113 ,,:(,7(5(7+(0(1.............................................................................................................................114 'DWDZDUHKRXVLQJ'DWDPLQLQJ.................................................................................................................114 1.1.Die Problematik Datawarehousing//Datamining und Datenschutz...................................................114 .XQGHQNDUWHQ............................................................................................................................................116 2.1.Kundenkarte M-Cumulus .................................................................................................................116 'DWHQVFKXW]XQG0HGLHQ..........................................................................................................................117 3.1.Der datenschutzrechtliche Anspruch auf Berichtigung ....................................................................117 =ROOZHVHQ....................................................................................................................................................119 4.1.Projekt zur Informatisierung des gemeinsamen Zollversandverfahrens* .........................................119 9HU|IIHQWOLFKXQJYRQ3HUVRQHQGDWHQ......................................................................................................121 5.1.Veröffentlichung der Liste der während des zweiten Weltkriegs in der Schweiz aufgenommenen Flüchtlinge im Internet* ...................................................................................................................121 5.2.Publikation einer Namensliste im Anhang einer Verordnung des Bundesrates*..............................122 5.3.Veröffentlichung von Personendaten in Verbindung mit nachrichtenlosen Versicherungspolicen ..124 5.4.Bereitstellung von nicht sensiblen Personendaten im Internet durch ein Bundesorgan*..................125 5.5.Cabaret-Tänzerinnen im Internet .....................................................................................................126 %HNDQQWJDEHYRQ3HUVRQHQGDWHQ.............................................................................................................127 6.1.Bekanntgabe von Personendaten durch ein Bundesorgan an eine Kantonsbehörde*.......................127 'DWHQVFKXW]XQGUHFKWOLFKH5DKPHQEHGLQJXQJHQ.................................................................................128 7.1.Effektivität des Schutzes der Privatsphäre mittels Selbstregulierungs-modellen .............................128 7.2.Anpassung der gesetzlichen Grundlagen an die Erfordernisse des DSG*........................................129 7.3.«Online »-Verbindungen – Verstärkung des Datenschutzes*...........................................................131 7.4.Beschwerdebefugnis des Eidgenössischen Datenschutzbeauftragten*.............................................134 7.5.Anwendung des Bundesgesetzes über den Datenschutz auf erstinstanzliche Verwaltungsverfahren* ....................................................................................................................136 7.6.Beschwerdeinstanz bei Verfügungen in datenschutzrechtlichen Fragen ..........................................137 'DWHQVFKXW]XQG'DWHQVLFKHUKHLW.............................................................................................................139 8.1.Die Revision der Verordnung des Personalinformationssystems der Armee (PISA) und die Umsetzung der Datenschutz- und Datensicherheitsanliegen ............................................................139 8.2.Die Anonymisierung von Personendaten mit Hilfe von Verschlüsselungsverfahren bei der Sozialhilfestatistik ............................................................................................................................140 8.3.Stand der Umsetzung der Sicherheitsmassnahmen beim System SiRück (Konten für Sicherheitsleistungen der Asylbewerber) .........................................................................................142 8.4.Stand der Umsetzungsarbeiten für die Datenschutz- und Sicherheitsanliegen beim Personalinformationssystem PISEDI ...............................................................................................143
6 9HUVFKLHGHQHV............................................................................................................................................145 9.1.Datenbanken für Kinder mit unbekanntem Aufenthalt - Datenschutz in Belgien.............................145 9.2.Vertrieb einer CD-ROM mit Fahrzeughalterdaten ...........................................................................146 9.3.Videoaufzeichnungen und Therapie.................................................................................................147 9.4.Der EDSB ist keine Zertifizierungsstelle .........................................................................................148 9.5.Datenschutz und Buchpublikationen................................................................................................149 ,,, ,17(51$7,21$/(6........................................................................................................................150 (XURSDUDW.................................................................................................................................................150 %H]LHKXQJHQ]XU(XURSlLVFKHQ8QLRQ...................................................................................................151 ,QWHUQDWLRQDOH.RQIHUHQ]GHU%HDXIWUDJWHQIÅUGHQ'DWHQVFKXW]......................................................153 2(&'.........................................................................................................................................................155
7 925:257 'DWHQVFKXW]LP|IIHQWOLFKHQ,QWHUHVVH Gesetze, die dem Schutz der Personendaten des Bürgers dienen, werden auch im staatlichen und damit öffentlichen Interesse erlassen. Datenschutz steht nicht im Gegensatz sondern gehört zu den Interessen der Allgemeinheit. Gleichwohl kann ein Spannungsverhältnis bestehen. Dies ist z. B. der Fall, wenn der Daten- schutz mit gleichrangigen anderen Interessen der Allgemeinheit konkurriert. Dieses Spannungsverhältnis ist durch eine Abwägung der verschiedenen Interessen im Rahmen des Grundsatzes der Verhältnismässigkeit zu lösen. Aus diesem Grund wäre es völlig verfehlt, den Datenschutz als Verhinderungs- instrument zu verstehen. Datenschutz muss von Politik, Verwaltung und Wirtschaft auch als Unternehmensziel verstanden werden, für dessen Realisierung auch finanzielle Mittel eingesetzt und in die Systementwicklung einbezogen werden müssen. Hierfür ist aber erforderlich, dass bei der Entwick- lung und Einrichtung der Systeme bekannt ist, welche negativen Auswirkungen auf den Schutz der Privatsphäre damit verbunden sein können. Datenschutz als Unternehmensziel wird aber dann jedenfalls ein frommer Wunsch der Datenschützer bleiben, wenn der Bürger als Betroffener und Verbraucher ihn nicht einfordert. Der Bürger muss deshalb über die daten- schutzrechtlichen Risiken aufgeklärt werden, die mit der Entwicklung neuer Technologien und Verfahren verbunden sind. 'DV3RWHQWLDOGHU,QIRUPDWLRQVWHFKQRORJLHQHLQH+HUDXVIRUGHUXQJIÅUGHQ 'DWHQVFKXW] Es ist heute möglich, in Sekundenschnelle vom Arbeitsplatz oder von Zuhause aus per e-mail mit jedem Ort der Welt Informationen auszutauschen oder abzu- rufen. Was seit einigen Jahren von Betriebs- und Medienwissenschaftlern vorausgesagt wurde, vollzieht sich derzeit mit kaum mehr nachvollziehbarer Geschwindigkeit: Die Umwandlung unserer Gesellschaft in eine Informations- gesellschaft. Es ist dies eine Gesellschaftsform, die einerseits geprägt ist durch eine alle Lebensbereiche durchdringende Nutzung der Informationstechnologie, die andererseits aber auch abhängig und verletzlich ist durch diese Technologie. Zeitliche und räumliche Schranken der traditionellen Informationsbearbeitung fallen. Für jedes Unternehmen, jede Behörde und für jeden Bürger werden unvorstellbare Informationsressourcen verfügbar. Diese Entwicklung stellt ohne Frage eine gewaltige Herausforderung an den Schutz der Privatsphäre dar. Je mehr Möglichkeiten die Technologie eröffnet, desto grösser wird der Wunsch danach, sie auch dort zu nutzen, wo bisher faktische Barrieren die Rechte von Betroffenen schützten. Vernetzte Informationssysteme gestatten Online-Zugriffe auf beliebig grosse und beliebig
8 entfernte Datensammlungen, Datenabgleiche, Profilbildungen. Es liegt nahe, dass der Ruf nach derartigen Instrumenten zunehmend lauter wird, um Rationa- lisierungspotentiale auszuschöpfen, Verwaltungsabläufe zu beschleunigen, mehr Benutzerkomfort zu bieten. Die Realisierung dieser Zielvorstellungen birgt erhebliche Risiken in sich. Meine Aufgabe ist es dabei keineswegs, die positiven Potentiale der Informationstechnologie zu behindern. Vielmehr müssen diese erschlossen, gleichzeitig aber die Grenzen der Nutzung gesetzt werden. 'LH6FKUDQNHQGHUWUDGLWLRQHOOHQ,QIRUPDWLRQVEHDUEHLWXQJIDOOHQ Neue datenschutzrechtliche Fragestellungen werfen auch die Stichworte «Multimedia» und «Vernetzung» auf. Die angebotenen On-line- Dienstleistungen, bringen nicht nur Vorteile und Komfort, sondern erzeugen auch zahlreiche Datenspuren (bspw. über die Fragen, wer wann von wem und wie lange eine Dienstleitung in Anspruch genommen hat). Diese Informationen über den Bürger, aus denen sich ein umfassendes Bild seines Konsumverhaltens ableiten lässt, können aber auch die werbende Wirtschaft, den Adresshandel oder den Arbeitgeber interessieren. Somit entstehen neue Risiken für die Ge- währleistung der Privatsphäre und der Sicherheit von Datenübermittlungen. Um die Privatsphäre der Bürger zu schützen, ist sowohl eine klare und eindeutige Beschränkung der Datenbearbeitungen auf die für die Abwicklung eines bestimmten Geschäftes notwendigen Daten als auch eine zuverlässige Gewähr- leistung der Zweckbindung erforderlich. Dafür sind neben den rechtlichen Rahmenbedingungen vermehrt auch technische Lösungen einzusetzen. 'DWHQEHDUEHLWXQJHQLQGHUPRGHUQHQ,QIRUPDWLRQVJHVHOOVFKDIWNHQQHQNHLQH *UHQ]HQ Die Berarbeitung und Nutzung personenbezogener Daten macht nicht länger Halt vor Landesgrenzen, sondern findet auf globaler Ebene statt. Die sich daraus ergebenden Risiken für die Privatsphäre des Einzelnen können deshalb nur weltweit begrenzt werden. Wegen der internationalen Vernetzung und der Unkalkulierbarkeit dessen, auf welchen Rechnern Berarbeitungsvorgänge von personenbezogenen Daten gerade stattfinden, wären nicht nur weltweite Technologie- und Kommunikationsstandards, sondern auch weltweite, Datenschutzstandards erforderlich, in die auch Kontrollmöglichkeiten durch unabhängige Datenschutzorgane einbezogen werden müssten. Immerhin sind in Europa wichtige Schritte in Richtung Gewährleistung der Privatsphäre auf internatio- naler Ebene getan worden. In vielen anderen Ländern jedoch, insbesondere in den Vereinigten Staaten, wird in absehbarer Zeit wohl kaum ein dem
9 europäischen Standard gleichwertiger Datenschutz rechtlich verankert werden. Deshalb ist es um so wichtiger, dass bereits die Technologie und Organisation selbst eine datenschutzfreundliche Datenbearbeitung gewährleisten oder zumindest zu annehmbaren Bedingungen die geeigneten Optionen bieten.Eine derartige datenschutzfreundliche Technologie könnte auch als Verkaufs- und Marketingargument genutzt werden. 'HU(LQVDW]GHU7HFKQRORJLHIÅUGHQ6FKXW]GHU3ULYDWVSKlUH Die Computertechnologie ist in alle Lebensbereiche eingedrungen und breitet sich mehr und mehr aus. Bei der Kommunikation mittels digitaler Netze, durch Teilnahme an Online-Diensten sowie an nationalen und internationalen Netz- werken fallen eine Fülle von Einzeldaten über den Benutzer an. Mittels dieser elektronischen Spuren können Persönlichkeitsprofile über das Verhalten des Einzelnen gebildet werden. Immer mehr Bürger benutzen diese Technologie. Doch nicht zuletzt aufgrund der Komplexität und der mangelnden Transparenz von Systemen der modernen Informations- und Kommunikationstechnologien fehlt dem Bürger in der Regel die Kenntnis und die Kontrollmöglichkeit über Art, Umfang, Speicherort, Speicherdauer und Verwendungszweck der über ihn erhobenen und gespeicherten Daten. Die Privatsphäre des Bürgers kann bei der Nutzung dieser Systeme vorwiegend dadurch gewährleistet werden, indem der Zugang zu den erhobenen, gespeicherten und bearbeiteten personenbezogenen Daten mittels technischer und organisatorischer Massnahmen beschränkt wird. Der Schutz der Privat- sphäre des Bürgers hängt somit lediglich von der Wirksamkeit der üblichen Sicherheitsmassnahmen und vom Einsatz von datenschutzfreundliche Techno- logien ab. Es wächst die Erkenntnis, dass der zunehmenden Gefährdung der Privatsphäre des Einzelnen nur durch eine weitgehende Reduzierung der Menge der gespeicherten Daten wirksam begegnet werden kann. Die Nutzung der neuen Kommunikationstechnologien durch den Bürger wird demzufolge auch in Zukunft nur dann den Ansprüchen der Datenschutzes gerecht, wenn daten- schutzfreundliche Technologien eingesetzt werden. 9HUVFKOÅVVHOXQJZLFKWLJVWHV,QVWUXPHQWIÅUGHQ6FKXW]GHU3ULYDWVSKlUH Zu den wichtigsten datenschutzfreundlichen Technologien gehören die verschiedenen Anwendungsformen der Datenverschlüsselung. Hierfür sind inzwischen Verfahren verfügbar, die einen nahezu perfekten Selbstschutz für alle diejenigen Anwender ermöglichen, die den Kreis der Zugriffsberechtigten selbst bestimmen können und wollen. Da dies wiederum den Strafverfolgungs-
10 behörden und Nachrichtendiensten wegen der damit verbundenen Vereitelung von Überwachungsrechten zu weit geht, ist der Vorschlag gemacht worden, die Anwendung kryptographischer Verfahren gesetzlich zu reglementieren. Zu der Diskussion hierüber habe ich bereits im letztjährigen Tätigkeitsbericht (5. Tätigkeitsbericht S. 86 ) Stellung genommen. Aus der Sicht des Datenschutzes darf man die Verschlüsselungstechnologie nicht als etwas Bedrohliches definieren, sondern als ein hervorragendes Instrument, die Privatsphäre wirksam zu schützen. Die Gefahr für das Gemein- wesen geht nicht von der Verschlüsselungstechnologie aus, sondern von Regelungen, die ihre Wirkung einschränken wollen. Das Argument, die organisierte Kriminalität könnte sich der Verschlüsselungstechnologie bedienen, verfängt nicht. Denn wie sonst als mit starken Verschlüsselungs- verfahren sollen sich Bürger und Wirtschaft vor kriminellen Eingriffen schützen, wenn wirtschaftsrelevante Daten, etwa beim elektronischen Geschäftsverkehr, über Netze ausgetauscht werden. Der Staat darf die Verschlüsselungstechnologie nicht hemmen, sondern muss im Gegenteil ihre Entwicklung und Verbreitung fördern, wo immer dies möglich ist, damit Straftaten möglichst von vornherein verhindert werden können. 'LH,QIRUPDWLRQVJHVHOOVFKDIWYRQ0RUJHQ(LQH=XNXQIWVSHUVSHNWLYH Die rasante Entwicklung der Kommunikationstechnologien in den letzten Jahren mahnt zur Vorsicht, wenn es um Prognosen für die Zukunft geht. Niemand kann vorhersagen, wie die Informationsgesellschaft von morgen aussehen wird. Die Richtung der Informationsgesellschaft lässt sich allerdings schon jetzt durchaus erkennen. Die Vernetzung wird zunehmen. Der Daten- austausch wird vermehrt automatisiert erfolgen. Dies wird zur Folge haben, dass der Bürger viele Tagesgeschäfte in Zukunft über On-Line-Dienste erledigen wird. Eine unvorstellbare Datenmenge wird elektronisch weltweit übermittelt werden. Die Normen nach denen die Informationsgesellschaft aufgebaut wird, sind andere als die, mit denen Juristen gewöhnlich umgehen. Sie sind von der Inno- vationskraft beeinflusst. Dabei darf nicht vergessen werden, dass natürlich auch die Informations- und Kommunikationstechnologie von Menschen entwickelt und angewandt wird. Es sind immer Menschen, die entscheiden, in welche Richtung die Informationstechnologie vorangetrieben wird, wenn Alternativen bestehen. Für die Akzeptanz der neuen Telekommunikationstechnologien wird die Sicherstellung des Datenschutzes und der Privatsphäre des Einzelnen von entscheidender Bedeutung sein. Es ist absehbar, dass in Zukunft Produkte und Dienstangebote Wettbewerbsvorteile haben werden, wenn sie datenschutz- freundlicher als die anderen sind. Ein Produkt oder Dienstangebot, das mit
11 möglichst wenig personenbezogenen Daten seiner Nutzer auskommt, wird dem anderen vorgezogen, das umfangreiche Datenspuren erzeugt. Bereits heute ist eine Reihe von Technologien und Hilfsmitteln zur Erreichung von verbessertem Datenschutz verfügbar. Die Technologie, die dafür gesorgt hat, dass personenbezogene Daten gespeichert, genutzt und weitergegeben werden können, ist auch zur Wahrung der Privatsphäre des Einzelnen nutzbar. Diese Möglichkeiten der modernen Datenschutztechnologie, die mit dem Begriff «Privacy enhancing technologies» (PET) eine Philosophie der Daten- vermeidung und der Datensparsamkeit beschreibt und ein ganzes System technischer Massnahmen umfasst, sollten genutzt werden. Die Benutzer sollten durch gezielte Nachfrage die Verwendung datenschutzfreundlicher Technolo- gien in EDV-Systemen fordern und fördern. Dies sollte auch der Gesetzgeber tun. Zudem sind Industrie und Dienstleistungsanbieter gefordert, für den Verbraucher transparentere Systeme zu schaffen und datenschutzfreundliche Technologien verstärkt in ihre Systeme zu integrieren. Schliesslich sind der Datenschutz und die Chancen moderner Technologien keine Gegensätze, sondern Kräftefelder, die zur Fortentwicklung der Informationsgesellschaft stets in einem Gleichgewicht gehalten werden müssen. )ROJHUXQJHQIÅUGHQ'DWHQVFKXW] Die Veränderungen der Technologie werden auch Konsequenzen für den Daten- schutz von morgen haben. Die Zeit der konventionellen Datenbearbeitung (Papier) geht zu Ende. Für den Schutz der Privatsphäre in der Informations- gesellschaft muss deshalb die Technologie stärker als bisher eingesetzt werden, ansonsten besteht die Gefahr, dass der Datenschutz seine Wirksamkeit verliert. Die Technologie muss auch selbst Instrumente zum wirksamen Schutz der Privatsphäre hervorbringen. Der Einsatz von technischen Instrumenten muss aber auch durchgesetzt werden können. Eng mit dem Einsatz von technischen Instrumenten hängt die Kryptographie zusammen, die sich in den letzten Jahren zu einem mächtigen Verbündeten für den Schutz der Privatsphäre entwickelt hat. Starke Verschlüsselungsverfahren können Informationen in offenen Netzen gegen den Verlust der Vertraulichkeit und Integrität wirksam schützen.
12 'LH5ROOHGHV'DWHQVFKXW]EHDXIWUDJWHQLQGHU=XNXQIW Die Nationalstaaten stossen in offenen, internationalen Netzen an Grenzen ihrer Wirkungsmöglichkeiten. Weltumspannende Netze können von einem einzelnen Land aus nicht mehr reguliert und kontrolliert werden. Der Staat kann seine Bürger, wenn sie sich in internationale Netze begeben, nicht in der gewohnten Weise schützen. Massnahmen bspw. gegen Computerkriminalität, bleiben in der grenzüberschreitenden Wirkung der globalen Vernetzung wirkungslos. Nationale gesetzliche Regelungen zum Datenschutz können leicht umgangen werden. Deshalb ist es wichtig, ihre begrenzte Wirksamkeit stets vor Augen zu haben und alles daran zu setzen, dass möglichst bald weltweit geltende Standards entwickelt werden. Für die Kontrolle des Datenschutzes ist es wichtig zu erkennen, dass der Staat auch insoweit seine traditionelle Schutzfunktion nur noch eingeschränkt wahrnehmen kann. Vielmehr können und müssen sich die Bürger in Zukunft vermehrt selbst wirksam schützen, indem sie z.B. Daten nur verschlüsselt über- mitteln. Die Rolle der Datenschutzbeauftragten soll sich deshalb verstärkt auf eine serviceorientierte Beratungsfunktion konzentrieren, die den Bürgern hilft, sich gegen Bedrohungen ihrer Privatsphäre selbst zu schützen. Die Daten- schutzbeauftragten der Zukunft werden neben ihren traditionellen Aufgaben der Kontrolle der Datenbearbeitung in Verwaltung und Wirtschaft und der Beratung von Behörden vor allem für die Beratung der Bürger zu sorgen haben. Es besteht kein Zweifel daran, dass wir in der Informationsgesellschaft der Zukunft einen wirksamen Datenschutz mehr denn je brauchen werden. Der Datenschutz der Zukunft wird aber ein anderes Aussehen haben als der Datenschutz der letzten Jahrzehnte. Er wird weniger juristisch geprägt sein und leeren Formalismus zu vermeiden suchen, wo immer es geht. Sein Markenzeichen werden Kompetenz und Serviceorientierung sein. O. Guntern
13 $%.h5=81*69(5=(,&+1,6 AHVAlters-, Hinterlassenen- und Invalidenversicherung AHVGBundesgesetz über die Alters- und Hinterlasseneneversicherung AUPERAutomatisiertes Personenregister AVIGArbeitslosenversicherungsgesetz AVIVArbeitslosenversicherungsverordnung BAMVBundesamt für Militärversicherung BAPBundesamt für Polizeiwesen BFABundesamt für Ausländerfragen BFIBundesamt für Informatik BFSBundesamt für Statistik BPVBundesamt für Privatversicherungswesen BSVBundesamt für Sozialversicherung BtGBeamtengesetz BtmGBundesgesetz über die Betäubungsmittel vom 3. Oktober 1951 BUWALBundesamt für Umwelt, Wald und Landschaft BWISBundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit DNS (DNA)Desoxyribonukleinsäure DOSISDatenverarbeitungssystem zur Bekämpfung des illegalen Drogenhandels DSGBundesgesetz über den Datenschutz EDSBEidgenössische Datenschutzbeauftragter EDSKEidgenössische Datenschutzkommission EFTAEuropäische Freihandels-Assoziation (European Free Trade Association) EJPDEidgenössische Justiz- und Polizeidepartement EMRKEuropäische Menschenrechtskonvention ETVDie Elektronischen Telefonverzeichnisse EUEuropäische Union FMHVerbindung der Schweizer Ärzte (Foederatio Medicorum Helveticorum) GEWADatenverarbeitungssystem zur Bekämpfung der Geldwäscherei GIGBundesgesetz über die Gleichstellung von Frau und Mann GPK-SGeschäftsprüfungskommission des Ständerates GS EDIGeneralsekretariat des Eidg. Departement des Innern GWGBundesgesetz zur Bekämpfung der Geldwäscherei im Finanzsektor IgVVInformatisierung des gemeinsamen Versandverfahrens InfVVerordnung über die Informations- und Auszahlungssysteme der Arbeitslosenversicherung ISDNDienstintegrierendes digitales Netz ISISStaatsschutz-Informationssystem ISOKDatenverarbeitungssystem zur Bekämpfung der organisierten Kriminalität IVGBundesgesetz über die Invalidenversicherung IVVVerordnung über die Invalidenversicherung KLVKrankenpflege-Leistungsverordnung KSKKonkordat Schweizerischer Krankenversicherer KVGBundesgesetz über die Krankenversicherung KVVVerordnung über die Krankenversicherung MOBundesgesetz über die Militärorganisation NCTSNeues Computerisiertes Transit System OKOrganisierte Kriminalität
14 OZDOberzolldirektion PISEDIPersonalinformationssystem des Eidg. Departements des Innern REG-GWGRegister über die Finanzintermediäre und die Selbsregulierungs- organisationen RIPOLAutomatisiertes Fahndungssystem SchKGBundesgesetz über Schuldbetreibund und Konkurs StGBStrafgesetzbuch SVVSchweizerischer Versicherungsverband UVGBundesgesetz über die Unfallversicherung V-AVAMVerordnung über das Informationssystem für die Arbeitsvermittlung VNDVerordnung über den Nachrichtendienst VPBVerwaltungspraxis der Bundesbehörden VwVGBundesgesetz über das Verwaltungsverfahren ZANZentraler Aktennachweis ZARZentrales Ausländerregister ZASZentrale Ausgleichskasse ZEKZentralstelle für Kreditinformation ZentGBundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes vom 7. Oktober 1984 ZSDZentralstellendienste
15 , $86*(:b+/7(7+(0(1 3ROL]HLZHVHQ %XQGHVJHVHW]EHWUHIIHQGGLHhEHUZDFKXQJGHV3RVWXQG)HUQPHOGH YHUNHKUV±%HUDWXQJLQGHQ5lWHQ $P1RYHPEHUNDPGDV%XQGHVJHVHW]EHWUHIIHQGGLHhEHUZDFKXQJGHV3RVW XQG7HOHNRPPXQLNDWLRQVYHUNHKUVLQGHU5HFKWVNRPPLVVLRQGHV1DWLRQDOUDWHVLQGLH %HUDWXQJ 1DFK $QK|UXQJ YHUVFKLHGHQHU ([SHUWHQ XQWHU DQGHUHP DXFK GHV (LGJHQ|VVLVFKHQ'DWHQVFKXW]EHDXIWUDJWHQKDWGLHVH5HFKWVNRPPLVVLRQEHVFKORVVHQ HLQH6XENRPPLVVLRQHLQ]XVHW]HQGLHXQWHU%HL]XJYRQ([SHUWHQHLQHQ*HJHQHQWZXUI ]XP%XQGHVJHVHW]DXVDUEHLWHQVROO Im Nachgang zum Bericht der Parlamentarischen Untersuchungskommission betreffend das Eidgenössische Justiz- und Polizeidepartement erteilte die Geschäftsprüfungskommission des Nationalrates (GPK Nationalrat) einer Arbeitsgruppe den Auftrag, die Überwachungspraxis des Bundes zu überprüfen. Das Ergebnis dieser Arbeitsgruppe hielt die GPK Nationalrat am 9. November 1992 in einem Bericht an den Bundesrat fest. Sie verlangte unter anderem die Schaffung von stärkeren Regelungen für die Telefonüberwachung zu Zwecken der Strafverfolgung. Mit der Motion 93.3205 der GPK Nationalrat vom 24. Mai 1993, die vom Bundesrat am 14. Juni 1993 gutgeheissen wurde, wurden für die Gesetzesarbeiten die folgenden Inhalte vorgegeben: Schaffung eines restriktiven Deliktskataloges (inkl. Ergänzung durch eine Generalklausel), verbesserter Schutz von unbeteiligten Dritten, insbesondere solcher mit Zeugnisverweigerungsrecht sowie nachträgliche Wirksamkeitskontrolle. Im Oktober 1993 wurde vom EJPD die Studiengruppe Telefonüberwachung eingesetzt. Der EDSB hat an dieser Studiengruppe Telefonüberwachung teilgenommen und hatte somit die Gelegenheit, seine Anliegen in die Studiengruppe einzubringen. Aus den Arbeiten der Studiengruppe resultierte der Entwurf eines Bundesgesetzes betreffend die Überwachung des Post- und Telekommunikationsverkehrs vom 2. Juni 1997, mit dem sich der EDSB einverstanden erklären konnte. Dieser Entwurf wurde in die Vernehmlassung geschickt und erfuhr in diesem Vernehmlassungsverfahren sowie in der Ämterkonsultation wesentliche Änderungen. Hinter dem Entwurf, wie er heute in der Botschaft wiedergegeben ist, kann der EDSB nicht mehr vollumfänglich stehen.
16 Wesentliche Anliegen des Berichtes der GPK Nationalrat finden nach Ansicht des EDSB im vorliegenden Entwurf keinen Niederschlag mehr. Hierbei ist zum einen an die Forderung nach einem restriktiven Deliktskatalog zu denken. Der aufgenommene Deliktskatalog entspricht inhaltlich in keiner Weise der Zielsetzung des von der GPK geforderten restriktiven Deliktskataloges, da nicht nur die schwersten Verbrechen, sondern auch Vergehen und sogar Übertretungen aufgenommen werden. Bei der Überwachung des Post- und Fernmeldeverkehrs handelt es sich um einen äusserst schweren Eingriff in die Persönlichkeit der betroffenen Person, zu dem aus Verhältnismässigkeitsgründen nur bei schwerwiegenden Straftatbeständen gegriffen werden darf. Wir waren damals der Ansicht, dass auch ohne Aufnahme eines restriktiven Deliktskataloges dem Persönlichkeitsschutz genügend Rechnung getragen werden kann, wenn für eine Überwachung u.a. der dringende Tatverdacht für das Vorliegen eines Verbrechens oder eines Vergehens, das in schweren Fällen oder bei Vorliegen besonderer Merkmale als Verbrechen bestraft wird, vorliegt. Damit wäre die Überwachung auf schwere Verbrechen beschränkt und die Zahl der Delikte, für die eine Überwachung angeordnet werden durfte, stark reduziert. Die Aufnahme von Handlungen in einen Deliktskatalog, die vom Gesetzgeber lediglich als Vergehen und Übertretungen eingestuft werden, ist in keiner Weise vertretbar. Zusätzlich zu der ursprünglich im Entwurf vom 2. Juni 1997 vorgesehenen Beschränkung der Überwachung auf Verbrechen oder Vergehen, die in schweren Fällen oder bei Vorliegen besonderer Merkmale als Verbrechen bestraft werden, war auch noch die Bedingung vorgesehen, dass die Schwere oder die Eigenart der strafbaren Handlung die Überwachung rechtfertigen, so namentlich beim Verdacht, die strafbare Handlung werde gewerbs-, banden- mässig, mehrfach oder von einer kriminellen Organisation begangen. Der Botschaftsentwurf meint dazu lediglich, dass die Schwere der strafbaren Handlung die Überwachung rechtfertigt. Die Einschränkung über den Bezug zu gewerbs-, bandenmässiger, mehrfach oder in einer kriminellen Organisation begangenen Handlung ist weggefallen. Die ursprünglichen Anliegen des PUK- Berichtes nach einer restriktiveren Handhabung der Telefonüberwachung sind somit mit der heutigen Vorlage vollkommen verwässert. Des Weiteren wurden im Zusammenhang mit Natel easy die Regelung in den Botschaftsentwurf aufgenommen, dass die Genehmigungsbehörde bei rasch wechselndem Fernmeldeanschluss erlauben kann, dass alle identifizierten Anschlüsse, die die verdächtigte Person benutzt, ohne Genehmigung im Einzel- fall überwacht werden können. Diese Regelung hat zur Folge, dass auch sämtliche Anschlüsse von Drittpersonen (Beispiel: Zwei Nächte verbringt die verdächtigte Person im Hotel, eine bei einem Freund, drei bei der Mutter, zwischendurch verwendet sie ein Natel easy etc.) ohne Genehmigungsverfahren überwacht werden dürfen. Die Forderung der GPK Nationalrat nach einer
17 Verbesserung des Schutzes von Drittpersonen wird auf diese Weise nicht nur nicht erfüllt. Vielmehr wird der Schutz massiv ausgehöhlt, indem eine reine Anzeige der erfolgten Telefonüberwachung an die Genehmigungsbehörde genügen soll. Des Weiteren sollen die Diensteanbieter verpflichtet sein, die für die Teilnehmeridentifikation vorhandenen Daten sowie die Verkehrs- und Rechnungsdaten während sechs Monaten aufzubewahren,die Daten den Post- verkehr betreffend sogar «mindestens» sechs Monate. Die Bearbeitung (insbesondere die Erhebung und die Aufbewahrung) dieser Daten erfolgt für den Zweck des Verbindungsaufbaus und der Rechnung- stellung durch die Anbieter. Die vorgesehenen Bestimmungen regeln nun die Aufbewahrungsdauer zu einem neuen Zweck, nämlich dem der Strafverfolgung. Bereits in die heutige Fernmeldeverordnung (FDV) wurde – ohne uns vorher zu konsultieren – ein entsprechender Zusatz aufgenommen, der nun auf Gesetzesstufe erhoben werden soll. Durch diese Regelung mutiert die Aufbe- wahrung dieser Daten jedoch zu einer präventiven Datenbearbeitung für die Strafverfolgungsbehörden. Das bedeutet, dass die einzelnen Daten nicht nur im Zusammenhang mit konkreten strafrechtlichen Ermittlungen bearbeitet werden. Vielmehr sollen diese Daten unabhängig von konkret begangenen Straftaten den Strafverfolgungsbehörden zur Verfügung stehen. Auf diese Weise werden die Randdaten der gesamten Bevölkerung der Schweiz zu Strafverfolgungs- zwecken präventiv aufbewahrt. Neben den von uns vertretenen Kritikpunkten äusserten sich auch andere Experten sehr kritisch über den Botschaftsentwurf. Das führte dazu, dass die Rechtskommission des Nationalrates an ihrer Sitzung vom 27. November 1998 beschloss, eine Subkommission einzusetzen, die unter Beizug von Experten einen Gegenentwurf ausarbeiten soll. Dieser Gegenentwurf soll insbesondere dem Schutz der Grundrechte und dem Datenschutz gebührend Rechnung tragen, hauptsächlich jene Gesetzesänderungen vorschlagen, die sich aus der Liberali- sierung des Fernmeldeverkehrs zwingend ergeben sowie den Schutz des Berufsgeheimnisses und des Zeugnisverweigerungsrechtes und die nach Art. 8 und 13 der Europäischen Menschenrechtskonvention verbrieften Einsichts-, Auskunfts- und Kontrollrechte gewährleisten. 6FKDIIXQJJHVHW]OLFKHUUXQGODJHQIÅU3HUVRQHQUHJLVWHUGXUFKGDV %XQGHVDPWIÅU3ROL]HLZHVHQ =ZHFNV(LQKDOWXQJGHUhEHUJDQJVIULVWGHV'6IÅU%XQGHVRUJDQHLKUH%HDUEHLWXQJHQ YRQ EHVRQGHUV VFKÅW]HQVZHUWHQ 3HUVRQHQGDWHQ XQG 3HUV|QOLFKNHLWVSURILOHQ DXI KLQUHLFKHQGHJHVHW]OLFKHUXQGODJHQ]XVWHOOHQKDWGDV%XQGHVDPWIÅU3ROL]HLZHVHQ GHP3DUODPHQWHLQHVHW]JHEXQJVSDNHWYRUJHOHJW
18 Bundesorgane sind verpflichtet, innerhalb einer bestimmten Übergangsfrist nach Inkrafttreten des DSG ihre Bearbeitungen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen auf hinreichende Rechtsgrundlagen zu stellen. Daher hat das Bundesamt für Polizeiwesen dem Parlament ein gros- ses Gesetzgebungspaket (TGV) zur Beurteilung vorgelegt (vgl. dazu 5. Tätigkeitsbericht S. 12 ff.) Gegenstand dieses Gesetzgebungspaketes war u. a. die Revision von Art. 11 Abs. 1 des Bundesgesetzes über die kriminal- polizeilichen Zentralstellen des Bundes vom 7. Oktober 1984 (ZentG). Die heute noch gültige Fassung ermächtigt den Bundesrat anzuordnen, dass eine Zentralstelle zur Erfüllung ihrer Aufgaben ein Datenverarbeitungssystem betreibt. Diese Formulierung trägt dem Grundgedanken des ZentG Rechnung, der von der Errichtung und Führung voneinander getrennter, unterschiedlicher Zentralstellen ausgeht. Nach dem neuen Entwurf betreiben die kriminal- polizeilichen Zentralstellen des Bundes zur Erfüllung ihrer Aufgaben ein gemeinsames Informationssystem. Das bedeutet, dass sämtliche Daten, die die unterschiedlichen kriminalpolizeilichen Zentralstellen des Bundes bearbeiten, in einem einzigen gemeinsamen, riesigen Topf bearbeitet werden. Diese Fassung war von der Rechtskommission des Ständerates gutgeheissen worden. Demgegenüber hat sich die Rechtskommission des Nationalrates gegen den Aufbau eines zentralpolizeilichen Personeninformationssystems ausgesprochen. Sie hat die Vorlage an den Bundesrat mit dem Auftrag zurückgewiesen, ein Gesamtkonzept einschliesslich Organisation und Sicherstellung der Daten- schutzanliegen für die Zusammenlegung der Datensammlungen der Zentralstellendienste auszuarbeiten. Wir hatten gegenüber dem Bundesamt für Polizeiwesen und in den Beratungen der Rechtskommissionen bis jetzt immer vertreten, dass die vom Bundesamt für Polizeiwesen an die Hand genommene Reorganisation der Zentralstellendienste nicht mit dem ZentG vereinbar sei, da dieses von getrennt geführten, verschie- denen kriminalpolizeilichen Zentralstellen ausgehe. Des Weiteren vertraten wir die Ansicht, die vorgesehene Revision des Art. 11 Abs. 1 ZentG stelle eine Gesetzeskonformität der vom Bundesamt für Polizeiwesen geschaffenen Tatsachen nicht her. Aus diesem Grund sind wir mit der Zurückweisung der Vorlage insofern zufrieden, als sie eine weitergehende Revision des ZentG erforderlich macht.
19 %HVXFKEHLP .RQWUROOGLHQVW '26,6,62. GHV %XQGHVDPWHV IÅU 3ROL]HLZHVHQ %HLHLQHP%HVXFKEHLGHP.RQWUROOGLHQVWGHV%XQGHVDPWHVIÅU3ROL]HLZHVHQIÅUGLH 'DWHQYHUDUEHLWXQJVV\VWHPH'26,6XQG,62.KDWWHQZLU*HOHJHQKHLWXQVHLQ%LOGÅEHU GLH$UEHLWVZHLVHXQG$EOlXIHGHV.RQWUROOGLHQVWHV]XPDFKHQVRZLHYRQXQVYRUJlQJLJ DXVJHDUEHLWHWH)UDJHQ]XVWHOOHQ Das Bundesamt für Polizeiwesen betreibt einen Kontrolldienst für die Daten- verarbeitungssysteme DOSIS und ISOK. An zwei Vormittagen hatten wir anlässlich eines Besuches die Möglichkeit, uns ein Bild von der Arbeitsweise und den Abläufen dieses Dienstes zu machen. Wir haben festgestellt, dass der Kontrolldienst eine sehr verantwortungsvolle Aufgabe zu erfüllen hat. Insbesondere hat er eine Scharnierfunktion zwischen den Interessen der polizeilichen Ermittler und des Datenschutzes wahrzunehmen. Es hat sich aber auch gezeigt, dass sich in vieler Hinsicht Anforderungen der polizeilichen Ermittlungarbeit und des Datenschutzes decken. Das gilt vor allen Dingen für die Anforderung, dass Daten richtig eingegeben und bearbeitet werden, worunter sowohl die inhaltliche Richtigkeit als auch die zeitliche Aktualität zu verstehen sind. Das Erfordernis der Datenrichtigkeit ist u.a. im Hinblick auf die polizeiliche Analysetätigkeit unabdingbar, ist jedoch einer der eminenten Grundsätze des Datenschutzes. Zudem bot uns der Besuch die Möglichkeit, Fragen im Zusammenhang
20 hätte überprüft werden können. Das hat zur Folge, dass die Daten nicht gesetzeskonform und in einem sehr schlechten Zustand sind. Die Informa- tionen wurden unter einer neuen Kategorie «KA» gespeichert, die weder in der ISOK-VO noch im ISOK-Bearbeitungsreglement vorgesehen und somit rechtlich nicht vertretbar ist. Um jedoch diesen widerrechtlichen Zustand zu begrenzen, war ursprünglich vorgesehen, nur die Daten, die bis zum 21. Juni 1998 aus ZAN in ISOK transferiert wurden, in dieser Kategorie «KA» zu speichern. Es musste jedoch festgestellt werden, dass auch nach dem Stichtag des 21. Juni 1998 von den Anwendern Informationen in der Kategorie «KA» gespeichert werden. Die Kontrolle durch den Kontrolldienst erfolgt lediglich im Einzelfall, sobald zu einem Stamm neue Vorgänge gemeldet werden. Der Kontrolldienst über- prüft dann anhand der eingehenden Informationen sowie der vorhandenen Aktenstücke die Berechtigung der Einträge im ISOK. Stellt der Kontrolldienst fest, dass die Einträge nicht berechtigt sind, werden sie in ISOK gelöscht. Diese Vorgehensweise hat zur Folge, dass die im «KA» vorhandenen Infor- mationen nicht auf ihre Gesetzeskonformität hin geprüft werden, sofern keine neuen Vorgänge registriert werden. Das bedeutet, dass Daten über Jahre durch den Kontrolldienst ungeprüft im System verbleiben und Informationen, die als «ungesichert» zu qualifizieren wären, über die in der ISOK-Verordnung geregelten Aufbewahrungsfristen hinaus den Anwendern zur Verfügung stehen. Zudem war vorgesehen, dass alle visierten Daten aus der Kategorie «KA» mit der einschränkenden «Zugriffskategorie» nach dem ISOK-Bearbeitungs- reglement versehen in den Bereich OK überführt werden, sobald diese Funktion verfügbar ist. Wir sind der Ansicht, dass entweder sämtliche in «KA» gespeicherten Personendaten spätestens bis zum 21. Juni 2000 zu kontrollieren oder aber per 21. Juni 2000 als ungesichert zu löschen sind.
21 Eine derartige Akten- und Dossierverwaltung ist mit der ISOK-VO nicht vereinbar, zumal es die Möglichkeit gibt, im Subsystem GT eine Termin- und Geschäftskontrolle zu führen. Entsprechend hat sie zu unterbleiben.
22 einen Bericht erstellt hat, eine Anzeige erstattet wurde, Telefonkontrollen angeordnet wurden. 7\SLVFKXQJHVLFKHUWH(LQWUlJH sind Adressbücher bei Hausdurchsuchung, PC/Mobiltelefon/Telefonprogrammierungen, aufgeführte, nicht überwachte Telefongespräche, weil diese noch keine Aussage über den Inhalt der Gespräche machen. Eine derart klare Messlatte hat man bei ISOK nicht, weil Anzeigen, Daktyloskopierungen, Hausdurchsuchungen etc. im OK-Bereich in der Regel nicht durchgeführt werden. Es werden zum Teil nicht einmal gerichtspolizei- liche Ermittlungsverfahren eröffnet. Als JHVLFKHUW wird etwa die Firma ein- gegeben, die viele Ausgaben hat, aber keine Einnahmen, da die keine Produkte oder Dienstleistungen anbietet. In diesem Fall werden auch über die Mitglieder des Verwaltungsrates ein Stamm geführt. Ebenso werden über alle Personen, für die Visa beantragt werden, Stämme eingegeben. Es gibt jedoch keine klaren Kriterien für die Abgrenzung gesichert/ungesichert. Da die Fristen für ungesicherte Daten im OK-Bereich mit zwei Jahren zu kurz sind, wird die Messlatte für eine Einstufung als gesichert sehr niedrig angelegt.
23
24 Menschenhandel und Pornografie bearbeitet. Im Rahmen der Ämterkonsultation hatten wir festgehalten, dass unserer Auffassung nach FAMP mit ZentG nicht vereinbar ist. Im Gegensatz zur Weiterführung der Personendaten der Zentral- stellendienste im ZAN stösst die Errichtung und Betreibung von FAMP jedoch auf geringere juristische Bedenken unsererseits. ZAN beinhaltet eine Vielzahl unterschiedlicher Datengefässe. Im ZAN bearbeiten der Erkennungsdienst, Interpol sowie die Zentralstellendienste Personendaten. Zum Einen verfügt ZAN nicht über eine hinreichende gesetzliche Rechtsgrundlage in einem formellen Gesetz. Diese soll erst mit dem Gesetzgebungspaket TGV (vgl. dazu oben 1.2. «Schaffung gesetzlicher Grund- lagen für Personenregister durch das Bundesamt für Polizeiwesen») geschaffen werden, die spätestens Anfang 2001 in Kraft treten muss. Zum Anderen genügt ZAN dem im ZentG statuierten Trennungsgebot nicht. Demgegenüber kann FAMP diesem Trennungsgebot durch Schaffung entsprechender Subsysteme Rechnung tragen und damit über Zugriffs- regelungen dem datenschutzrechtlichen Verhältnismässigkeitsgrundsatz Genüge tun. Im Weiteren nimmt FAMP für einen Teilbereich der Zentralstellen die Revision von Art. 11 Abs. 1 Vorentwurf ZentG (vgl. dazu oben 1.2. «Schaffung gesetzlicher Grundlagen für Personenregister durch das Bundesamt für Polizei- wesen») vorweg, der ein gemeinsames Informationssystem für die Zentral- stellendienste vorsieht. Im Rahmen der Ämterkonsultation gingen wir davon aus, dass FAMP der Konzeption des Zentralstellengesetzes Rechnung trägt und die Rechtsgrundlage für ein gemeinsames, der Konzeption des Zentralstellengesetzes entsprechenden Informationssystems spätestens in zwei Jahren in Kraft treten wird. Unter diesem Aspekt ruft FAMP aus juristischer und technischer Sicht geringere Bedenken hervor als ZAN. Mit Rückweisung der Revisionsvorlage von Art. 11 Abs. 1 ZentG durch die Rechtskommission des Nationalrates an den Bundesrat ist jedoch die Entwicklung in Bezug auf ein gemeinsames Informationssystem und damit hinsichtlich der erforderlichen Rechtsgrundlage wieder offen.
25 %HDUEHLWXQJYRQ3HUVRQHQGDWHQLP=HQWUDOHQ$NWHQQDFKZHLV=$1 JHPlVV%HWlXEXQJVPLWWHOJHVHW] 1DFKGHP%XQGHVJHVHW]ÅEHUGLH%HWlXEXQJVPLWWHOYRP2NWREHUVLQGVlPWOLFKH 8UWHLOH6WUDIEHVFKHLGHXQG(LQVWHOOXQJVEHVFKOÅVVHGHU%XQGHVDQZDOWVFKDIW]XKDQGHQ GHV%XQGHVUDWHVVRZLHMHGHZHJHQ:LGHUKDQGOXQJJHJHQGDV%HWlXEXQJVPLWWHOJHVHW] HLQJHOHLWHWH6WUDIYHUIROJXQJGHU=HQWUDOVWHOOHIÅUGLH%HNlPSIXQJGHVXQHUODXEWHQ %HWlXEXQJVPLWWHOYHUNHKUVPLW]XWHLOHQ'LHVH$QJDEHQZXUGHQEHLP%XQGHVDPWIÅU 3ROL]HLZHVHQLP=HQWUDOHQ$NWHQQDFKZHLV=$1JHVSHLFKHUW Beim Bundesamt für Polizeiwesen wurden in der Datenbank ZAN Urteile, Strafbescheide und Einstellungsbeschlüsse im Zusammenhang mit Verstössen gegen das Bundesgesetz über die Betäubungsmittel vom 3. Oktober 1951 (BtmG) gespeichert (vgl. Art. 12 lit. m Verordnung über den Erkennungsdienst des Bundesamtes für Polizeiwesen vom 1. Dezember 1986, ED-VO). Art. 28 Abs. 2 BtmG sieht jedoch vor, dass sämtliche Urteile, Strafbescheide und Einstellungsbeschlüsse sofort nach ihrem Erlass in vollständiger Ausfertigung der Bundesanwaltschaft zuhanden des Bundesrates mitzuteilen sind. Adressat ist somit die Bundesanwaltschaft. Art. 12 lit. m ED-VO ist noch ein Über- bleibsel aus der Zeit, als das Schweizerische Zentralpolizeibüro noch bei der Bundesanwaltschaft angesiedelt war. 1992 wurde das Schweizerische Zentral- polizeibüro jedoch in das Bundesamt für Polizeiwesen eingegliedert. Für Meldungen der Urteile, Strafbescheide und Einstellungsbeschlüsse bezüglich Widerhandlungen gegen das BtmG an das Bundesamt für Polizeiwesen und damit eine Bearbeitung im ZAN fehlt die erforderliche Rechtsgrundlage in einem formellen Gesetz. Auf unsere Intervention hin wurde uns vom Bundesamt für Polizeiwesen bestätigt, dass diese Daten aus dem ZAN gelöscht wurden. Gemäss Art. 29 Abs. 3 BtmG sind die Kantone verpflichtet, über jede wegen Widerhandlungen gegen das BtmG eingeleitete Strafverfolgung an die Zentral- stelle Betäubungsmittel Mitteilung zu machen. Diese Meldungen wurden vom Bundesamt für Polizeiwesen im ZAN gespeichert und bearbeitet. In der ED-VO, die die Datenbearbeitungen im ZAN regelt, gibt es jedoch keine Bestimmung, die die Bearbeitung der Meldungen nach Art. 29 Abs. 3 BtmG im ZAN erlaubt. Damit ist eine derartige Bearbeitung im ZAN rechtswidrig. Wir hatten dementsprechend das Bundesamt für Polizeiwesen aufgefordert, sämtliche, von den Kantonen an die Zentralstelle Betäubungsmittel gemeldeten Personendaten im ZAN zu löschen sowie jegliche Online-Zugriffe von Personen, die nicht bei der Zentralstelle Betäubungsmittel arbeiten, aufzuheben. Das Bundesamt ist unseren Forderungen fristgerecht nachgekommen.
26 Für die Arbeit der Zentralstelle Betäubungsmittel ist eine Betäubungsmittel- statistik von Nutzen. Mit vollkommen anonymisierten Daten wäre sie jedoch nicht aussagekräftig. Das Bundesamt für Polizeiwesen machte daher den Vorschlag, eine getrennt geführte Datenbank für die Betäubungsmittelstatistik einzurichten, auf die nur zwei mit der Betreuung dieser Statistik betrauten Personen Zugriff haben. Die für eine derartige Statistik erforderliche Rechts- grundlage werde umgehend an die Hand genommen. Wir konnten uns mit diesem Vorschlag und Vorgehen einverstanden erklären. =XJULIIYRQ6WUDIDQVWDOWHQDXI5,32/ :LUKDWWHQXQVPLWHLQHU$QIUDJHGHV'DWHQVFKXW]EHDXIWUDJWHQGHV.DQWRQV=ÅULFK]X EHIDVVHQGLHVLFKLP=XVDPPHQKDQJPLWGHP%HVXFKVIRUPXODUHLQHU6WUDIDQVWDOW VWHOOWH.RQNUHWJLQJHVGDUXPRE6WUDIDQVWDOWHQDXIGDVDXWRPDWLVLHUWH)DKQGXQJV V\VWHP5,32/]XJUHLIHQGÅUIHQRGHUQLFKW Der Datenschutzbeauftragte des Kantons Zürich hatte sich mit der Frage an uns gewandt, ob Zugriffe einer Strafanstalt auf das automatisierte Fahndungssystem RIPOL von den Rechtsgrundlagen des RIPOL gedeckt seien und ob es sich bei RIPOL um ein «Strafregister» handele. Ausgangspunkt für das Schreiben des kantonalen Datenschutzbeauftragten war die Anfrage eine Bürgers bezüglich eines Besuchsformulars einer Strafanstalt. Auf dem Besuchsformular war eine Ermächtigungsklausel abgedruckt, mittels der sich die unterzeichnende Person einverstanden erklärte, dass über sie Auskünfte bei Strafregisterbehörden eingeholt werden dürfen. Die Abklärungen des kantonalen Datenschutzbeauftragten ergaben jedoch, dass von der Straf- anstalt nicht Strafregisterauszüge angefordert werden. Vielmehr würden Anfragen im RIPOL gemacht. Nach Prüfung der vorhandenen Rechtsgrundlagen kamen wir zu dem Ergebnis, dass diese nicht als Rechtsgrundlagen für Online-Zugriffe einer Strafanstalt auf RIPOL herangezogen werden können.
27 9LGHRNDPHUDLP%DUHJJ7XQQHO±$)1(6 ,P%DUHJJ7XQQHODQGHU$]ZLVFKHQ=ÅULFKXQG%HUQKDWGLH$DUJDXHU3ROL]HL 9LGHRNDPHUDVLQVWDOOLHUW0LWGLHVHQ.DPHUDVVROOWHHLQH0|JOLFKNHLWGHUDXWRPD WLVLHUWHQ(UNHQQXQJYRQ)DKU]HXJQXPPHUQJHWHVWHWZHUGHQ=ZHFNGLHVHU1XPPHUQ HUNHQQXQJLVWGLH2SWLPLHUXQJGHU)DKU]HXJIDKQGXQJ Im Juni 1998 haben wir auf Anfrage eines Journalisten von dem bereits angelaufenen, zeitlich auf einige Monate beschränkten Versuchsprojekt «Automatisiertes FahrzeugNummernErkennungs-System» (AFNES) der Aargauer Kantonspolizei erfahren. Dieses System wurde laut Medienmitteilung der Schweizerischen Polizeitechnischen Kommission (SPTK), die ein Dienst- leistungsorgan der Konferenz der Kantonalen Polizeikommandanten der Schweiz und der Schweizerischen Vereinigung Städtischer Polizeichefs ist, vom 10. Juni 1998 zur Optimierung der Fahrzeugfahndung evaluiert und entwickelt. Die Tests sollen die Feldtauglichkeit solcher Systeme aufzeigen und wurden in enger Zusammenarbeit mit Polizeikorps und dem Rechenzentrum des Eidgenössischen Justiz- und Polizeidepartement durchgeführt. Von den im Baregg-Tunnel installierten Videokameras werden die Fahrzeug- kennummern sämtlicher Fahrzeuge erfasst, die durch den Tunnel fahren, und mit dem vom Bundesamt für Polizeiwesen betriebenen automatisierten Fahndungssystem RIPOL abgeglichen. Die Kameras sind so installiert, dass ausschliesslich der Bereich um die Fahrzeugnummer erfasst wird und nicht Aufnahmen von Insassen der Fahrzeuge gefilmt werden. Da dieser Abgleich zeitgleich erfolgt, setzt das System eine Online-Verbindung von AFNES mit RIPOL voraus. Aufgrund dieser Gegebenheit wurden wir als Kontrollorgan, das für die von Bundesorganen betriebenen Datenbanken zuständig ist, auf Anfrage hin von der SPTK zu einer Vorführung des Systems eingeladen. Aufgrund dieses Besuches sowie nachgängiger Abklärungen kamen wir zu der Überzeugung, dass die von uns gestellten folgenden Forderungen bezüglich der in unseren Zuständigkeits- bereich fallenden Problematik - Abgleich mit den im RIPOL gespeicherten Daten – erfüllt werden:
28 Zudem hielten wir fest, dass eine Neubeurteilung des Systems durch uns – sofern es in unseren Kompetenzbereich fällt - erforderlich sei, sollte das System an verschiedenen Standorten gleichzeitig zum Einsatz gelangen und ein auto- matischer Austausch der aus dem Abgleich gewonnen Erkenntnissen unter den verschiedenen Standorten in Erwägung gezogen werden. 7UDQVSRUWLHUEDUNHLWYRQ'DWHQGHU'DWHQEDQN©,GHQWLWlWVNDUWH™LQ GDV7H[WYHUDUEHLWXQJVV\VWHP:25' $QOlVVOLFKHLQHU9RUIÅKUXQJGHU'DWHQEDQN©,GHQWLWlWVNDUWH™,'.KDEHQZLUIHVW JHVWHOOWGDVV]X'UXFN]ZHFNHQ3HUVRQHQGDWHQDXVGHU,'.LQGDV7H[WYHUDUEHLWXQJV V\VWHP:25'WUDQVSRUWLHUWZHUGHQPÅVVHQ Von der Stelle «Ausweisschriften» im Bundesamt für Polizeiwesen wurde uns an einem Vormittag die Arbeitsweise dieser Dienststelle vorgestellt sowie die von ihr benutzte Datenbank IDK vorgeführt. Wir konnten uns von der guten Arbeitsweise sowie von dem grossen Verantwortungsbewusstsein der zuständigen Mitarbeiter überzeugen. Im Hinblick auf die Datensicherheit wies das System folgenden Problempunkt auf: Es gibt in der Datenbank IDK keine Druckfunktion und damit keine Möglichkeit, Daten aus dem System direkt auszudrucken. Will man Daten aus der Datenbank IDK per Fax an eine berechtigte Stelle übermitteln, sind die Daten aus der IDK in das Textverarbei- tungssystem WORD zu transportieren, um sie auf Papier ausdrucken zu können. Sind einmal die Daten im WORD, besteht die Möglichkeit, diese zu ändern: Sei es, dass identifizierende Angaben wie Photo, Unterschrift, Name, Vorname, Geburtsdatum, Kartennummer, Ausstellungsdatum und –ort geändert, sei es, dass das Photo einer Person mit Angaben über eine andere Person kombiniert werden konnte usw. Aufgrund unserer Intervention wurden vom Rechenzentrum des Eidgenössischen Justiz- und Polizeidepartementes Massnahmen umgesetzt, die auf der einen Seite die Möglichkeit gewährleisten, Daten aus der Datenbank IDK auszudrucken und per Fax verschicken zu können. Auf der anderen Seite wurde die Mutierbarkeit der Daten unterbunden, und die Datensicherheit somit verbessert.
29 8QFKLIIULHUWHhEHUPLWWOXQJYRQ0HOGXQJHQDXIHOGZlVFKHUHL YHUGDFKWSHU)D[ $XVUÅQGHQGHV3HUV|QOLFKNHLWVVFKXW]HVLVWHVHUIRUGHUOLFKGDVVVHLWHQVGHU0HOGHVWHOOH IÅUHOGZlVFKHUHLWHFKQLVFKHXQGRUJDQLVDWRULVFKH0DVVQDKPHQYRUJHVHKHQZHUGHQ XP 0LVVEUDXFKVP|JOLFKNHLWHQ EHL GHU hEHUPLWWOXQJ YRQ 0HOGXQJHQ DXI HOG ZlVFKHUHLYHUGDFKWDQGLH0HOGHVWHOOHZHLWHVWJHKHQGDXV]XVFKOLHVVHQ Aufgrund des Bundesgesetzes zur Bekämpfung der Geldwäscherei nahm am 1. April 1998 die Meldestelle für Geldwäscherei ihre Tätigkeit auf. Diese Melde- stelle wird von der Zentralstelle für die Bekämpfung des organisierten Verbrechens beim Bundesamt für Polizeiwesen geführt. Zur Aufgabenerfüllung bedient sich die Meldestelle für Geldwäscherei des Datenverarbeitungssystems zur Bekämpfung der Geldwäscherei (GEWA), bei dem in grossem Masse versucht wurde, die datenschutzrechtlichen Aspekte zu berücksichtigen. Anlässlich einer Vorführung dieses Systems mussten wir jedoch feststellen, dass alle an die Meldestelle gefaxten Verdachtsmeldungen unchiffriert auf ein und derselben Nummer bei der Meldestelle eingehen und von der Meldestelle unchiffriert an die Strafverfolgungsbehörden verschickt werden. Unseres Erachtens sind Meldungen auf Geldwäschereiverdacht besonders schützenswerte Personendaten im Sinne des DSG. Auch verfügen die Meldungen der Meldestelle an die Strafverfolgungsbehörden über eine den besonders schützenswerten Personendaten vergleichbare Sensibilität. Daher haben wir der Meldestelle mitgeteilt, dass eine unchiffrierte Übermittlung dieser Daten nicht den Sicherheitsanforderungen des DSG und der VDSG entsprechen. Wir sind der Ansicht, dass Vorkehrungen technischer und organisatorischer Art zu treffen sind, die eine den Anforderungen des DSG und der VDSG genügende Übermittlung der Daten, sei es per Fax oder auf andere Weise, gewährleisten. Wie wir in der Zwischenzeit von der Meldestelle erfahren konnten, wurden entsprechende Massnahmen an die Hand genommen. 9HURUGQXQJÅEHUGDV5HJLVWHUGHU.RQWUROOVWHOOHIÅUGLH%HNlPSIXQJ GHUHOGZlVFKHUHL 1HEHQ HLQHU 0HOGHVWHOOH IÅU HOGZlVFKHUHL GLH EHL GHU =HQWUDOVWHOOH IÅU GLH %HNlPSIXQJ GHV RUJDQLVLHUWHQ 9HUEUHFKHQV GHV %XQGHVDPWHV IÅU 3ROL]HLZHVHQ DQJHVLHGHOWLVWVLHKWGDV%XQGHVJHVHW]]XU%HNlPSIXQJGHUHOGZlVFKHUHL HLQH .RQWUROOVWHOOHIÅUGLH%HNlPSIXQJGHUHOGZlVFKHUHLYRU'LHVHIÅKUWGLH'DWHQEDQN
30 ©5HJLVWHU ÅEHU GLH )LQDQ]LQWHUPHGLlUHXQG GLH 6HOEVWUHJXOLHUXQJVRUJDQLVDWLRQHQ™ 5(**:* Die Kontrollstelle für die Bekämpfung der Geldwäscherei ist eine Organisa- tionseinheit der Eidgenössischen Finanzverwaltung. Diese Kontrollstelle hat verschiedene Aufgaben zu erfüllen. So obliegt ihr die Erteilung und Entzug der Bewilligung der Finanzintermediäre, die Anerkennung und der Entzug der Anerkennung von Selbsregulierungsorganisationen, die Aufsicht über die ihr direkt unterstellten Finanzintermediäre und über die Selbsregulierungs- organisationen, die Überprüfung der Finanzintermediäre, die weder einer Selbstregulierungsorganisation angeschlossen sind noch die Bewilligung der Kontrollstelle erhalten haben, die Zusammenarbeit mit der Meldestelle für Geldwäscherei, den spezialgesetzlichen Aufsichtbehörden sowie mit ausländischen Finanzmarktaufsichtsbehörden nach dem Bundesgesetz. Zu diesem Zweck betreibt die Kontrollstelle das Register über die Finanz- intermediäre und die Selbstregulierungsorganisationen« (REG-GWG). Im Zusammenhang mit der Ausarbeitung der erforderlichen Verordnung wurden wir rechtzeitig konsultiert. Wir konnten unsere Anliegen einbringen. Diese wurden vollumfänglich berücksichtigt. 0HOGHXQGhEHUPLWWOXQJV]HQWUDOHEHLP%XQGHVDPWIÅU3ROL]HLZHVHQ 'DV%XQGHVDPWIÅU3ROL]HLZHVHQIÅKUWHLQH0HOGHXQGhEHUPLWWOXQJV]HQWUDOH,P /DXIHGHVOHW]WHQ-DKUHVZXUGHQXQVHLQLJH8PVWlQGHEHNDQQWGLH]X%HDQVWDQGXQJHQ XQVHUHUVHLWVIÅKUWHQ Im Bereich der Melde- und Übermittlungszentrale (MUZ) des Bundesamtes für Polizeiwesen mussten wir verschiedentlich intervenieren.
31 -Die Mitarbeiter der Zentralstellendienste können über eine direkte Verbindungstür in die MUZ gelangen und sich unter anderem durch persönliche Anfragen Personendaten beschaffen. Um Unsicherheiten bezüglich der Zulässigkeit dieser Art der Informationsbeschaffung zu vermeiden beziehungsweise zu beseitigen, ist es erforderlich, schriftlich die Bedingungen für eine Informationsweitergabe durch die Mitarbeiter der MUZ an die der ZSD sowie die Zutrittsregelungen in Weisungen festzuhalten. Diese sollen, zumindest was diese Problematik anbelangt, bis Mitte Jahr 1999 in Form eines Handbuchs auf Weisungsstufe erlassen sein.
32 $XVZHLVVFKULIWHQ $QIDQJZXUGHEHLP%XQGHVDPWIÅU3ROL]HLZHVHQGDV3URMHNW©1HXHU6FKZHL]HU 3DVV™DQGLH+DQGJHQRPPHQ=LHOLVWELV]XP-DKUHLQHQQHXHQ3DVVVRZLHHLQ $XVZHLVVFKULIWHQJHVHW]]XVFKDIIHQ Weil die hohe Fälschungssicherheit des Schweizer Passes 85 abnimmt, der heutige Pass im Gegensatz zu den Pässen der meisten umliegenden europäischen Staaten nicht maschinenlesbar und die International Civil Aviation Organisation für die Einführung eines neuen Passes dessen Maschinenlesbarkeit sowie das Format vorschreibt, hat das Bundesamt für Polizeiwesen bereits Anfang 1998 die Vorarbeiten für ein Projekt «Neuer Schweizer Pass» an die Hand genommen. Im November 1998 wurde von Bundesrat Koller ein Projektausschuss eingesetzt. Dieser hat den Auftrag, einen neuen Schweizer Pass zu entwickeln und ein Bundesgesetz über die Ausweis- schriften zu erarbeiten. Der Eidgenössische Datenschutzbeauftragte ist in dem Projekt vertreten. Problemstellungen aus Sicht des Datenschutzes bieten u. a. die Frage
33 3URMHNW&DVLQR %LV]XPYRUDXVVLFKWOLFKHQ,QNUDIWWUHWHQGHV%XQGHVJHVHW]HVÅEHU*OÅFNVVSLHOHXQG 6SLHOEDQNHQDP-DQXDUPÅVVHQGLHHUIRUGHUOLFKHQ$XVIÅKUXQJVEHVWLPPXQJHQ HUDUEHLWHWVHLQ=XGLHVHP=ZHFNZXUGHYRP%XQGHVDPWIÅU3ROL]HLZHVHQGDV3URMHNW ©&DVLQR™DQGLH+DQGJHQRPPHQ Das Bundesgesetz über Glücksspiele und Spielbanken ist von den Eidgenös- sischen Räten verabschiedet worden und soll auf den 1. Januar 2000 in Kraft gesetzt werden. Voraussetzung hierfür ist jedoch insbesondere, dass die nach dem Gesetz erforderlichen Ausführungsbestimmungen vorher ausgearbeitet worden sind, so dass sie zeitgleich mit dem Gesetz in Kraft treten können. Für die Ausarbeitung dieser Ausführungsbestimmungen in Form bundesrätlicher Verordnungen wurde vom Bundesamt für Polizeiwesen das Projekt «Casino 2000» an die Hand genommen. Diese Ausführungsbestimmungen betreffen u. a. die Einsetzung der Spielbankenkommission, die Regelung des Verfahrens für die Erteilung von Spielbankenkonzessionen, die Regelung eines Sozial- konzeptes sowie die eines Sicherheitskonzeptes. Der Eidgenössische Datenschutzbeauftragte ist bei dem Projekt vertreten. Relevant aus Sicht des Datenschutzes sind vor allen Dingen die Frage der Datenbearbeitung, d.h. der Beschaffung, Speicherung und Weitergabe von Personendaten im Zusammenhang mit dem Zutritt zu Spielbanken. So sind die Spielbanken verpflichtet, die Identität der Personen zu überprüfen, bevor sie ihnen Zutritt gewährt. Im Weiteren besteht für bestimmte, im Gesetz auf- geführte Personengruppen ein Spielverbot. Eine dieser Personengruppen umfasst diejenigen Personen, über die von einer Spielbank eine Spielsperre verhängt worden ist. Eine Spielbank kann Personen vom Spielbetrieb zudem ausschliessen, von denen sie aufgrund eigener Wahrnehmungen in der Spiel- bank oder aufgrund Meldungen Dritter weiss oder annehmen muss, dass sie
34 $UEHLWVJUXSSH©,QIRUPDWLRQVSROLWLNGHU6WUDIYHUIROJXQJVEHK|UGHQ GHV%XQGHV™ ,Q)ROJHHLQHV3RVWXODWHVGHU*HVFKlIWVSUÅIXQJVNRPPLVVLRQGHV1DWLRQDOUDWHV]XU ©9HUEHVVHUXQJGHU,QIRUPDWLRQVSROLWLNGHU6WUDIYHUIROJXQJVEHK|UGHQGHV%XQGHV™GDV YRP%XQGHVUDWDQJHQRPPHQZXUGHZXUGHHLQH$UEHLWVJUXSSH]XUhEHUSUÅIXQJGHU 7KHPDWLNJHJUÅQGHW Am 29. Mai 1997 reichte die Geschäftprüfungskommission des Nationalrates ein Postulat zur «Verbesserung der Informationspolitik der Strafverfolgungs- behörden des Bundes» ein. Gemäss Postulatstext überprüft der Bundesrat die Informationspolitik der Strafverfolgungsbehörden des Bundes. Er schafft Strukturen, die eine klare Koordination und Abgrenzung zwischen Verwaltung und Strafverfolgungsbehörden ermöglichen. Mit Erklärung vom 17. September 1997 nahm der Bundesrat das Postulat entgegen, das am 10. November ange- nommen wurde. In der Folge wurde die Bundesanwaltschaft (BA) beauftragt, einen Projektentwurf zur Umsetzung des Postulates auszuarbeiten. Aufgrund dieses Projektentwurfes setzte die BA eine Arbeitsgruppe mit dem Auftrag ein, die Problematik vertieft zu überprüfen und Lösungen auszuarbeiten. Die Arbeitsgruppe setzte sich aus Vertretern des Generalsekretariates des Eidgenössischen Justiz- und Polizeidepartementes, des Oberauditorates, des Bundesamtes für Polizeiwesen, des Bundesamtes für Justiz, der Bundes- anwaltschaft und des Eidgenössischen Datenschutzbeauftragten zusammen. Wir haben festgehalten, dass neben den Bedürfnissen der Strafverfolgungs- behörden und dem Öffentlichkeitsinteresse aus Sicht des Persönlichkeits- schutzes folgende Aspekte zu berücksichtigen sind: Aufgrund der Rechtsprechung des Bundesgerichtes gilt für den 7DWVDFKHQJHKDOW behördlicher Informationen, dass er wahr, neutral, vollständig, richtig und verhältnismässig sein muss. :HUWXQJHQ in behördlichen Informationen müssen sachgerecht sein und dürfen die Grenze zur Propaganda nicht überschreiten. Das (UIRUGHUQLV zur Information liegt im öffentlichen Interesse sowie in der Pflicht zur Korrektur von Fehlinformationen in Medien. Die *UHQ]HQ der behördlichen Information liegen in den geschützten privaten Interessen, namentlich dem Persönlichkeitsschutz insbesondere als Anspruch auf soziale Geltung, auf Achtung des Privat- und Familienlebens, auf Unschuldsvermutung bis rechtskräftiger Verurteilung, auf Geheimhaltung vor unwürdigen verletzenden Blosstellungen und vor unnötigen Blosstellungen (Verhältnis- mässigkeitsgrundsatz). Identifizierende Angaben über Anwälte, Zeugen, Beschwerdeführer, Opfer, Kontoinhaber, Kontonummern, Finanzinstitute sollten nicht gemacht werden.
35 Die Bekanntgabe von besonders schützenswerten Personendaten ins Ausland (wie sie bei Strafverfolgungen vorliegen) ist aus Sicht des Persönlichkeits- schutzes grundsätzlich nur dann zulässig, wenn im Ausland die Persönlichkeit der betroffenen Person nicht schwerwiegend gefährdet würde, d.h. in der Regel, wenn ein dem schweizerischen vergleichbarer Datenschutz gewährleistet ist. Bei Anfragen ausländischer Journalisten muss dieser Grundsatz beachtet werden. Umstände, wie bereits erfolgte Medienmitteilungen in der Schweiz, auf die die ausländischen Journalisten jeder Zeit Zugriff haben, können jedoch zu einer anderen Beurteilung führen. Bei allen Bekanntgaben von Personendaten aufgrund vorher erfolgter anderweitiger Medienmitteilungen darf nicht vergessen werden, dass die bereits erfolgten Medienmitteilungen Persönlich- keitsverletzungen darstellen können. Eine Bekanntgabe von Personendaten durch die Strafverfolgungsbehörden des Bundes liesse sich, gestützt auf derartige Persönlichkeitsverletzungen, nicht rechtfertigen. Unsere Anliegen wurden in der Arbeitsgruppe sehr gut aufgenommen. Ihnen wurde in dem abschliessenden Bericht an das Generalsekretariat des Eidgenössischen Justiz- und Polizeidepartementes Rechnung getragen. Die Arbeit in dieser Arbeitsgruppe hat jedoch gezeigt, wie schwierig es ist, die Informationspolititk über klare Regeln zu definieren. Die sich gegenüber- stehenden Interessen sind in jedem Einzelfall gegeneinander abzuwägen. 3ULYDWLVLHUXQJVDEVLFKWHQYHUVXV3ROL]HL'DWHQEDQNHQ 9RQGHU.RQIHUHQ]GHU.DQWRQDOHQ3ROL]HLNRPPDQGDQWHQGHU6FKZHL]ZXUGHQZLUXP XQVHUH0HLQXQJ]X2XWVRXUFLQJXQG3ULYDWLVLHUXQJVDEVLFKWHQIÅU3ROL]HLGDWHQEDQNHQ YHUVFKLHGHQHU.DQWRQHJHEHWHQ Die Konferenz der Kantonalen Polizeikommandanten der Schweiz hat sich mit der Bitte an uns gewendet, unsere Position zu Outsourcing- und Privatisierungsabsichten einiger Kantone für Polizeidatenbanken darzulegen. Wir hielten fest, dass das DSG des Bundes auf das Bearbeiten von Personen- daten durch private Personen oder Bundesorgane Anwendung findet. Das hat zur Folge, dass bei der Bearbeitung von Personendaten durch kantonale Organe die kantonalen Datenschutzbestimmungen zum Tragen kommen. Schwieriger lässt sich die Frage der Anwendbarkeit des relevanten Datenschutz- rechtes sowie die daraus resultierende Frage der Zuständigkeit der Datenschutzinstanz beantworten, wenn Datenbearbeitungen im Rahmen eines Outsourcing an Privatfirmen übertragen werden. Zum Einen kommt kantonales Datenschutzrecht zum Tragen, sofern diese Privatfirmen aufgrund gesetzlicher oder vertraglicher Bestimmungen an das kantonale Datenschutzrecht gebunden sind. Für die Beurteilung von Datenschutzfragen wäre das kantonale
36 Datenschutzorgan zuständig. Zum Anderen findet auf die Privatunternehmen das DSG des Bundes Anwendung, was zu einer Zuständigkeit des Eidgenös- sischen Datenschutzbeauftragten führt. Je nach kantonalen Datenschutzbestimmungen kann die Verantwortung beim Outsourcing unterschiedlich geregelt sein. Deswegen ist es sinnvoll, wenn sich die kantonalen Behörden mit den jeweiligen kantonalen Datenschutzinstanzen in Verbindung setzen, wenn es um gesetzeskonforme Lösungen von Daten- bearbeitungen im Auftrag geht. Auf Bundesebene ist das Bundesorgan für den Datenschutz verantwortlich, das Personendaten in Erfüllung seiner Aufgaben bearbeitet oder bearbeiten lässt. Es hat dafür zu sorgen, dass die Daten auftragsgemäss bearbeitet werden, insbesondere was deren Verwendung und Bekanntgabe betrifft. Weiter bedeutet das, dass die in Art. 8 und 9 VDSG vorgesehenen allgemeinen und besonderen technischen und organisatorischen Massnahmen durch das Privatunternehmen erfüllt sein müssen. Untersteht der Dritte dem Bundesgesetz über den Datenschutz nicht, hat sich das verantwortliche Organ zu vergewissern, dass andere gesetzliche Bestimmungen einen gleichwertigen Datenschutz gewährleisten. Andernfalls muss es diesen auf vertraglichem Wege sicherstellen. $XVÅEXQJGHVLQGLUHNWHQ$XVNXQIWVUHFKWVIÅUGDV,6,66\VWHPGHU %XQGHVSROL]HL 0LWGHP,QNUDIWWUHWHQGHV%XQGHVJHVHW]HVÅEHU0DVVQDKPHQ]XU:DKUXQJGHULQQHUHQ 6LFKHUKHLWZXUGHQXQVLP5DKPHQGHU%HVWLPPXQJHQ]XPLQGLUHNWHQ$XVNXQIWVUHFKW IÅUGDV6WDDWVVFKXW],QIRUPDWLRQVV\VWHP,6,6QHXH$XIJDEHQÅEHUWUDJHQ-HGH3HUVRQ NDQQEHLXQVHLQH1DFKSUÅIXQJGDUÅEHUYHUODQJHQREGLH%XQGHVSROL]HLUHFKWPlVVLJ 'DWHQÅEHUVLHEHDUEHLWHW1DFKQHXQPRQDWLJHU$QZHQGXQJGHUQHXHQ5HJHOXQJOlVVW VLFKHLQHHUVWH=ZLVFKHQELODQ]]LHKHQGLHDOOHUGLQJVMHQDFK6WDQGSXQNW±EHWURIIHQH %HK|UGHQRGHUJHVXFKVWHOOHQGH3HUVRQHQ]XQXDQFLHUHQLVW Am 21. März 1997 verabschiedete die Bundesversammlung das Bundesgesetz über die Massnahmen zur Wahrung der inneren Sicherheit (BWIS). Im Rahmen dieses Gesetzes, das am 1. Juli 1998 in Kraft getreten ist, betraute uns das Parlament mit neuen Aufgaben, die mit der Anwendung der Bestimmungen über das indirekte Auskunftsrecht von Personen, über welche die Bundespolizei Daten bearbeitet, in Zusammenhang stehen.
37 Mit Ausnahme der Gesuche zu Akten der Bundespolizei vor Mai 1990, welche der im Rahmen der « Fichenaffäre » eingesetzte Sonderbeauftragte behandelte, wurden Gesuche um Akteneinsicht gemäss den Bestimmungen der Verordnung über die Behandlung von Staatsschutzakten des Bundes sowie der Verordnung über das provisorische Staatschutz-Informationssytem (ISIS-Verordnung) bislang direkt von der Bundesanwaltschaft bearbeitet. Mit dem Inkrafttreten von Artikel 18 BWIS wurde das direkte Auskunfts- verfahren von Personen für sie betreffende Daten durch einen indirekten Auskunftsmechanismus, der über den EDSB ausgelöst wird, ersetzt. Die neue Bestimmung ist das Ergebnis langer Diskussionen in den Eidgenössischen Räten. Zunächst sollte das Projekt die gleiche Regelung aufgreifen, die im Bundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes für das Auskunftsrecht gilt. Schliesslich verabschiedete das Parlament jedoch eine andere Lösung. Artikel 18 BWIS lehnt sich zwar eng an Artikel 14 des Bundes- gesetzes über kriminalpolizeiliche Zentralstellen des Bundes an, beinhaltet aber einige Abweichungen. Gemäss dieser Bestimmung kann jede Person beim EDSB verlangen, zu über- prüfen, ob im Informationssystem des für die innere Sicherheit zuständigen Bundesamtes (d.h. der Bundespolizei) rechtmässig Daten über sie bearbeitet werden. Nach Durchführung der Überprüfung bei der Bundespolizei teilen wir der gesuchstellenden Person in einer stets gleichlautenden Antwort mit, dass über sie entweder keine Daten unrechtmässig bearbeitet werden oder dass wir bei Vorhandensein allfälliger Fehler in der Datenbearbeitung eine Empfehlung zu deren Behebung an das Bundesamt gerichtet haben. Laut Gesetz ist ein Rechtsmittel gegen diese Mitteilung ausgeschlossen. Die betroffene Person kann von der Eidgenössischen Datenschutzkommission verlangen, dass diese die Mitteilung des Eidgenössischen Datenschutz- beauftragten oder den Vollzug der von ihm abgegebenen Empfehlung überprüfe. Die Datenschutzkommission teilt dem Gesuchsteller in einer stets gleichlautenden Antwort mit, dass die Prüfung im begehrten Sinne durchgeführt wurde. Im Gegensatz zum Bundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes können wir laut BWIS ausnahmsweise nach den Bestimmungen des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG) der gesuchstellenden Person in angemessener Weise Auskunft erteilen, wenn damit keine Gefährdung der inneren oder der äusseren Sicherheit verbunden ist und wenn der gesuchstellenden Person sonst ein erheblicher, nicht wiedergut- zumachender Schaden erwächst.
38 Schliesslich ist vorgesehen, dass den registrierten Personen, die ein Auskunfts- gesuch gestellt haben, beim Dahinfallen der Geheimhaltungsinteressen zur Wahrung der inneren Sicherheit, spätestens bei Ablauf der Aufbewahrungs- dauer, nach Massgabe des DSG Auskunft erteilt wird, sofern dies nicht mit unverhältnismässigem Aufwand verbunden ist. Nach neunmonatiger Anwendung der neuen Bestimmung lässt sich eine erste Bilanz ziehen, die allerdings je nach Standpunkt – betroffene Behörden (EDSB, Bundespolizei) oder gesuchstellende Personen – zu nuancieren ist. Als mit der Anwendung der Regelung beauftragte Behörde wurden wir mit einer Fülle von verfahrensmässigen und rechtlichen Problemen konfrontiert. In Zusammenarbeit mit der Bundespolizei mussten zahlreiche Verfahrensregeln eingeführt werden, um eine angemessene Anwendung des indirekten Auskunftsrechts zu gewährleisten. Da viele Gesuche nach wie vor direkt an die Bundespolizei gehen, mussten wir z.B. darauf achten, dass die Gesuche ohne vorherige Registrierung durch diese an uns weitergeleitet werden, damit nicht der Bundespolizei unbekannte Personen wegen ihres Gesuchs im ISIS-System registriert werden. Daneben fanden zahlreiche Diskussionen mit den Vertretern der Bundespolizei statt, um unsere Einsichtsmodalitäten ins ISIS-System und in allfällige Akten und Unterlagen über eine gesuchstellende Person zu erarbeiten. Die derzeit gestellten Gesuchte erforderten erhebliche Investitionen unserer Ressourcen, um nachzuprüfen, ob jedes Gesuch den Erfordernissen des BWIS entspricht. Zunächst wird festgestellt, ob der Name der betreffenden Person im ISIS-System registriert ist oder nicht ; gegebenenfalls ist anschliessend die rechtmässige Bearbeitung der in ISIS registrierten Daten zu überprüfen. Wenn die betroffene Person im System registriert ist, werden ausserdem die entsprechenden Dossiers geprüft. Dazu liefert uns die Bundespolizei die Akten aus den unterschiedlichen Papierdossiers, auf die das ISIS-System verweist, zur Untersuchung. Nach Abschluss dieser Etappen prüfen wir die Art der Antwort an die betroffene Person und bestimmen, ob sie eine stets gleichlautende Antwort erhalten soll oder ob im Einzelfall die Ausnahmebedingungen für eine ausführlichere Bekanntgabe im Sinne des DSG erfüllt sind. Bei der Prüfung der verschiedenen von uns bearbeiteten Gesuchte richteten wir ausserdem mehrere Empfehlungen an die Bundespolizei, um einige in der Datenbearbeitung festgestellte Irrtümer berichtigen zu lassen. Dabei ging es insbesondere um die Erfassung unrichtiger Identitätsdaten, um das Abfrage- protokoll und die Suchkriterien im ISIS-System bei der Prüfung der Auskunfts- gesuche. Die Bundespolizei hat unsere Empfehlungen befolgt und die verlangten Berichtigungen vorgenommen.
39 Im Rahmen der Anwendung der neuen Bestimmungen waren einige Punkte noch zu klären, so insbesondere : Tragweite des Auskunftsrechts, welches wir in bestimmten Fällen gemäss DSG ausnahmsweise gewähren können; anwendbare Rechtsmittel ; Umfang der Auskunftspflicht der Bundespolizei gegenüber registrierten Personen bei Ablauf der Aufbewahrungsdauer oder beim Dahinfallen der Geheimhaltungsinteressen zur Wahrung der inneren Sicherheit ; Aufbewahrung und Archivierung von Auskunftsgesuchdossiers. Aus der Perspektive der betroffenen Personen drängt sich die Feststellung auf, dass der im BWIS vorgesehene Mechanismus keinem eigentlichen Auskunfts- recht entspricht. In Tat und Wahrheit erhalten die Betroffenen von uns grundsätzlich nur eine stets gleichlautende Antwort, die keinen Aufschluss darüber gibt, ob sie bei der Bundespolizei registriert sind oder nicht. Ausführlichere Mitteilungen sind sehr strengen Auflagen unterworfen, welche die Anwendung der Ausnahme erheblich erschweren bzw. unmöglich machen. Während die Bundesanwaltschaft früher einer Person bisweilen klar mitteilen konnte, dass sie nicht registriert war, wird diese Möglichkeit im heutigen Rechtsrahmen durch die kumulativen Voraussetzungen stark eingeschränkt: Wir können eine andere als die stets gleichlautende Antwort nur dann erteilen, wenn damit keine Gefährdung der inneren oder äusseren Sicherheit verbunden ist und wenn der gesuchstellenden Person sonst ein erheblicher, nicht wiedergut- zumachender Schaden erwächst. Dagegen gibt der eingeführte Einsichtsmechanismus den betroffenen Personen die Garantie, dass ihr Gesuch von einem Organ ausserhalb der Bundespolizei bearbeitet wurde. Ausserdem beschränkt sich unsere Prüfung nicht auf die allfällige Registrierung einer Person durch die Bundespolizei, sondern erfasst gegebenenfalls auch die Abklärung, ob Datenbearbeitungen gesetzeskonform erfolgen, sowie die Behebung allfälliger festgestellter Fehler. Aus den vorherigen Ausführungen ergibt sich das grosse Ausmass unserer Zusatzaufgabe, wenn jedes Gesuch gemäss den Erfordernissen des Gesetzes behandelt werden soll. Im Gegenzug dazu erlaubt uns dies eine regelmässigere Kontrolle der Datenbearbeitung der Bundespolizei. Aus der Perspektive der gesuchstellenden Personen hingegen darf die Überwachung, die wir durch das indirekte Auskunftsrecht ausüben, nicht darüber hinwegtäuschen, dass sie von uns grundsätzlich nur eine stets gleichlautende Antwort erhält, welche keinen Aufschluss über eine allfällige sie betreffende Datenbearbeitung gibt. Für eine abschliessende Bilanz bleibt abzuwarten, wie sich die Anwendung des Zugriffsrechts auf ISIS entwickelt (etwaige Zunahme der Anzahl Gesuche, verfügbare Ressourcen des EDSB, noch ungeklärte juristische und verfahrens- mässige Aspekte, Umfang der Kontrolle der erlaubten Datenbearbeitung durch
40 die Bundespolizei, Reaktionen der betroffenen Personen, die befugt sind, sich ebenfalls an die Datenschutzkommission zu wenden). Erst dann kann das echte Ausmass der konkreten Probleme im Zusammenhang mit dem neuen Daten- einsichtmechanismus im Bereich der inneren Sicherheit analysiert werden. ©2QOLQH™,QVSHNWLRQ GHU HVFKlIWVSUÅIXQJVNRPPLVVLRQ GHV 6WlQGHUDWHV $QJHVLFKWVGHULPPHU]DKOUHLFKHUHQ2QOLQH9HUELQGXQJHQGLHGHQ%HK|UGHQHLQHQ GLUHNWHQ=XJULIIDXIGLHYHUVFKLHGHQHQ'DWHQEDQNHQHUODXEHQHULQQHUQZLUUHJHOPlVVLJ GDUDQGDVVVROFKH=XJULIIHYRUDOOHPGHQUXQGVlW]HQGHU9HUKlOWQLVPlVVLJNHLWXQG GHU=ZHFNELQGXQJJHQÅJHQPÅVVHQ,Q$QOHKQXQJDQXQVHUHhEHUOHJXQJHQIÅKUWHGLH *HVFKlIWVSUÅIXQJVNRPPLVVLRQGHV6WlQGHUDWHVLP3ROL]HLZHVHQHLQH,QVSHNWLRQ]X GLHVHU3UREOHPDWLNGXUFK'LH(UJHEQLVVHGHU(UPLWWOXQJHQDQGHQHQZLUXQVLQ)RUP YRQ$QK|UXQJHQRGHUVFKULIWOLFKHQ6WHOOXQJQDKPHQEHWHLOLJWHQZXUGHQLPDP 1RYHPEHUYHU|IIHQWOLFKWHQ%HULFKWIHVWJHKDOWHQ'HU%HULFKW]HLJWGLH/ÅFNHQLQ GHU(LQULFKWXQJVROFKHU9HUELQGXQJHQDXIXQGIRUPXOLHUW]DKOUHLFKH(PSIHKOXQJHQ ]XP'DWHQVFKXW]XQG]XGHQ.RQWUROOPLWWHOQGLHXQVELVODQJIHKOHQ Seit vielen Jahren warnten wir immer wieder vor der Bekanntgabe von Personendaten durch Abrufverfahren, das einen direkten Online-Zugriff auf die Informationen ermöglicht. Im Rahmen unseres 1. Tätigkeitsberichts haben wir auf «die neuen Gefahren» der Schaffung von gesetzlichen Grundlagen hingewiesen, welche die Einrichtung einer immer beeindruckenderen Anzahl von Online-Verbindungen «rechtfertigen» und zahlreichen Behörden den Zugriff auf verschiedene Datenbanken erlauben (vgl. « Online »-Schema/ Tätigkeitsbericht des EDSB 1993/94, S. 14). Wir betonten, dass die Beachtung des Legalitätsprinzips vor allem das Ziel der Transparenz verfolge und an sich die Zugriffe nicht rechtfertige. Vor der Ein- richtung einer Online-Verbindung muss deren Notwendigkeit auf die Übereinstimmung mit den Grundsätzen der Verhältnismässigkeit und Zweck- bindung hin überprüft werden. Anders ausgedrückt muss der Online-Zugriff den allgemeinen Grundsätzen des Datenschutzgesetzes genügen und darf nicht allein in gesetzlichen Grundlagen vorgesehen sein oder gerechtfertigt werden. Die Geschäftsprüfungskommission des Ständerates (GPK-S) liess sich von unseren Überlegungen leiten und führte eine spezifische Inspektion über die « Einrichtung von Online-Verbindungen im Bereich des Polizeiwesens » durch.
41 Damit setzte sie die Ermittlungen fort, welche die Geschäftsprüfungs- kommission des Nationalrates bei der Folgearbeit der Inspektion zur Einführung der Informatik in der Bundesverwaltung begonnen hatte, während der trotz der zahlreichen festgestellten Lücken im Datenschutz die Über- wachung der Projekte für die automatisierte Datenbearbeitung nicht vertieft überprüft wurde. Auf der Grundlage eines Expertenberichts über verschiedene Informatiksysteme der Bundespolizei konzentrierte die GPK-S ihre Arbeiten auf die Einhaltung der Grundsätze des Datenschutzes, auf die Sicherheitsmassnahmen, die Verfahren zur Einrichtung von Online-Verbindungen und auf die Kontrollmechanismen. Während der verschiedenen Inspektionsphasen wurden wir entweder in Anhörungen durch die GPK-S selbst oder in schriftlichen Stellungnahmen über den Expertenbericht oder den Berichtsentwurf der Kommission regelmässig konsultiert. Der Bericht der GPK-S wurde am 19. November 1998 veröffentlicht (vgl. Site der Parlamentsdienste http://www.pd.admin.ch). Darin werden die Lücken offengelegt, welche die GPK-S bei der Einrichtung von Online-Verbindungen im Allgemeinen und im Bereich des Polizeiwesens im Besonderen feststellte. Ferner enthält der Bericht einige Erwägungen zur Kontrolle bei der Gewährung des Online-Zugriffs sowie zu den für die Durchführung erteilten Mitteln. Die GPK-S unterstreicht, dass die Überwachung der Anwendung des Daten- schutzgesetzes durch die Bundesstellen zu unserem Kompetenzbereich gehört, und dass bei der Einrichtung neuer Online-Verbindungen auf die Befolgung der Grundsätze Verhältnismässigkeit, Zweckmässigkeit und Angemessenheit zu achten sei. In diesem Zusammenhang fehlen dem EDSB laut Ansicht der GPK- S vor allem die personellen Mittel, um die Kontrollen durchzuführen, mit denen er beauftragt ist. Die GPK-S erläutert, dass das Problem bereits im Rahmen der Inspektion der Geschäftsprüfungskommission des Nationalrates über die Einführung der Informatik in die Bundesverwaltung angesprochen wurde und dass es nach wie vor aktuell bleibt. Auf der Grundlage dieser Erwägungen hat die GPK-S eine Empfehlung an den Bundesrat gerichtet, wonach der Bundesrat für eine angemessenere Kontrolle der Online-Verbindungen durch den EDSB zu sorgen hat. Die Kontrolle soll sicherstellen, dass nur nachweislich notwendige Verbindungen mit bekannter Zielsetzungen und für welche die Risiken der missbräuchlichen Verwendung oder der Beeinträchtigung der Persönlichkeit ausgewertet wurden, eingerichtet werden sollen. Wir unterstützten die Vorkehrungen der GPK-S anlässlich ihrer Inspektion und befürworteten auch die übrigen Motionen und Empfehlungen der GPK-S an den
42 Bundesrat, vor allem über mehrere datenschutzrechtliche Aspekte. Zu nennen sind hauptsächlich die Motionen zur Erarbeitung von Reglementen für Pilot- projekte und die Annahme von Mindeststandardnormen, welche die Zusammenarbeit zwischen Bund und Kantonen bei der Einrichtung von Online- Verbindungen zwischen Bundes- und Kantonsbehörden verbessern sollen (siehe auch Seite 131 des vorliegenden Berichts). Ausserdem äusserten wir uns zustimmend zu den verschiedenen Empfehlungen der GPK-S, welche sich insbesondere auf eine vorgängige Prüfung des Online- Zugriffs mit Blick auf die Beachtung der Grundsätze Verhältnismässigkeit, Zweckmässigkeit und Angemessenheit beziehen. Der Bundesrat wird ersucht, in der Formulierung der Botschaften, welche die Gesetzesentwürfe begleiten, vor allem im Zusammenhang mit geplanten Online-Verbindungen grössere Transparenz zu beweisen. Im Übrigen empfiehlt die GPK-S die Einführung einheitlicher Entscheidungsverfahren, die Erarbeitung von Grundprinzipien, welche in den Bewilligungsverfahren zu beachten sind, eine Kontrolle der Kompetenzdelegation bei der Gewährung der Online-Zugriffe, eine Verstärkung der Sicherheitskontrollen sowie eine bessere Überwachung der Benutzungs- häufigkeit der gewährten Zugriffe. Der Bundesrat sollte sich zum Bericht der GPK-S und zu den verschiedenen darin enthaltenen Empfehlungen äussern und wurde aufgefordert, bis Juni 1999 eine Stellungnahme abzugeben. $XVOlQGHUXQG$V\OUHFKW (FKW]HLWhEHUWUDJXQJYRQ'DWHQDXVGHP=HQWUDOHQ$XVOlQGHU UHJLVWHU $OV$QWZRUWDXIHLQH$QIUDJHGHV%XQGHVDPWHVIÅU$XVOlQGHUIUDJHQEHWHLOLJWHQZLUXQV DQGHU/|VXQJVVXFKHIÅUGLH3UREOHPDWLNGHU(FKW]HLWhEHUWUDJXQJYRQ'DWHQDXVGHP =HQWUDOHQ$XVOlQGHUUHJLVWHUPLWGHQ.DQWRQHQ%DVHO6WDGWXQG*HQI,P5DKPHQGHU ODXIHQGHQ 5HYLVLRQ GHU 9HURUGQXQJÅEHUGDV =HQWUDOH $XVOlQGHUUHJLVWHU ZXUGH DXVVHUGHP HLQH 9RUODJH ]X HLQHU %HVWLPPXQJ HQWZRUIHQ ZHOFKH GLH JHQDXHQ $QZHQGXQJVEHGLQJXQJHQ GHU JHZlKOWHQ /|VXQJ KLQVLFKWOLFK 6LFKHUKHLW XQG 'DWHQVFKXW]SUl]LVHIHVWVFKUHLEW
43 Das Bundesamt für Ausländerfragen (BFA) ersuchte uns um unsere Mitwirkung bei der Erarbeitung einer Lösung für die Problematik der Echtzeit-Daten- übertragung aus dem Zentralen Ausländerregister (ZAR) mit den Kantonen Basel-Stadt und Genf. Die Lösung, die sich aus den Kontakten zwischen dem BFA und den beiden Kantonen ergab, besteht in der Einführung einer Echtzeit- Übertragung von ZAR-Daten, welche den Kantonen erlaubt, ihre eigenen Daten wiederzubenutzen und eine doppelte Registrierung zu verhindern. Wir teilen die Ansicht, dass für die Echtzeit–Übertragung der Daten eine klare Rechtsgrundlage erforderlich ist und regten deshalb an, die Gelegenheit der laufenden Revision der ZAR-Verordnung dafür zu nutzen. In Zusammenarbeit mit dem BFA haben wir ausserdem einen Bestimmungs- entwurf erarbeitet, der den Rahmen und die Voraussetzungen für den Einsatz dieser Lösung klar festschreibt. Hienach ist geplant, dass eine mit der Ausländerkontrolle beauftragte Kantons- oder Gemeindebehörde zwecks Rationaliserung die von ihr selbst registrierten ZAR-Daten in Echtzeit in ihr eigenes Informationssystem übertragen kann. Ausserdem wird sie die Daten zur Erfüllung von Aufgaben ausserhalb des Ausländerpolizeibereichs nur bearbeiten dürfen, soweit es das kantonale Recht unabhängig von der Übertragung ausdrücklich vorsieht. Ferner wurde klargestellt, dass das BFA mit den betroffenen Behörden zusammen entsprechende Massnahmen für Daten- sicherheit und Datenschutz gewährleisten muss, wobei die Richtlinien des Bundes über die Informatiksicherheit analog anzuwenden sind. Ausserdem erinnert ein Verweis an die Kontrollpflicht der Kantone. Schliesslich sieht der Bestimmungsentwurf vor, dass die Modalitäten und Auflagen in einem schriftlichen Vertrag festgehalten werden sollen, in dem insbesondere die getroffenen Sicherheitsmassnahmen (Chiffrierung der Daten, Protokollierung der Bearbeitung) genannt werden müssen. Nach der Vernehmlassung der betroffenen Kantone führte das BFA den Bestimmungsentwurf im Rahmen der Revision der ZAR-Verordnung ein. Die Verordnung wurde im Dezember 1998 zwecks Inkraftsetzung am 1. März 1999 erneut in Vernehmlassung geschickt. Laut Mitteilung vom Januar 1999 unterstützt die Datenschutzbehörde des Kantons Basel-Stadt die vorgeschlagene Rechtslösung, welche praktische und rationelle Aspekte mit den datenschutz- rechtlichen Auflagen vereinbart.
44 7HOHNRPPXQLNDWLRQXQG3RVW 7HOHNRPPXQLNDWLRQ %HDUEHLWXQJYRQ3HUVRQHQGDWHQLP7HOHNRPPXQLNDWLRQVEHUHLFK 0LWGHU/LEHUDOLVLHUXQJGHV7HOHNRPPXQLNDWLRQVPDUNWHVDP-DQXDUVLQGGLH $ERQQHQWHQ]X.XQGHQJHZRUGHQXQGIÅKOHQVLFKLP©'VFKXQJHO™GHU.RQNXUUHQ]RIW QLFKWPHKU]XUHFKW,QVEHVRQGHUHNHQQHQVLHLKUH5HFKWHEHLGHU%HDUEHLWXQJLKUHU 'DWHQ]XZHQLJ Aufgrund vieler Anfragen zum Datenschutz im Telekommunikationsbereich haben wir uns entschlossen, eine Informationsschrift in Form eines Leitfadens zu erstellen. Vorerst möchten wir im Folgenden auf die wichtigsten Datenschutzbestimmungen des Datenschutzrechts sowie des Fernmelderechts hinweisen. %HVWLPPXQJHQLP'DWHQVFKXW]UHFKW Die Beschaffung von Personendaten darf nur rechtmässig erfolgen. Das heisst, es wird ein Rechtfertigungsgrund benötigt, entweder in Form einer Einwil- ligung der betroffenen Person, eines überwiegendes öffentliches oder privates Interesse oder eines Gesetzes. So ist die Bearbeitung von Daten, die eine Anbieterin von Fernmeldediensten für den Verbindungsaufbau und die Rechnungsstellung benötigt, gesetzlich abgedeckt. Will Sie hingegen weitere Bearbeitungen vornehmen, wie dies z.B. die Swisscom im Rahmen ihres Kundenprogramms «Joker» (siehe auch Seite 49) tut, muss eine Einwilligung der Kunden vorliegen. Personendaten dürfen nicht ohne Wissen und gegen den Willen der betroffenen Person beschafft werden. Wer die betroffene Person bei der Datenbeschaffung absichtlich täuscht – z.B. wenn er die Daten unter Angabe einer falschen Identität beschafft oder falsche Angaben über den Zweck der Bearbeitung erteilt – verletzt das Prinzip von Treu und Glauben. Dieses verletzt er auch, wenn er Personendaten verdeckt beschafft, beispielsweise durch Belauschen eines Gesprächs oder Abhören von Kommunikationsverbindungen. Das Verhältnismässigkeitsprinzip besagt, dass nur diejenigen Daten bearbeitet werden dürfen, die benötigt werden und geeignet sind, den vorgesehenen Zweck zu erfüllen. So ist eine Anbieterin von Fernmeldediensten berechtigt, Name und Adresse seiner Kunden zu bearbeiten; es wäre aber unverhältnis- mässig, Informationen etwa über die Familienverhältnisse zu verlangen. Es muss immer eine Interessenabwägung zwischen dem Zweck der Bearbeitung
45 und dem Eingriff in die Persönlichkeit der betroffenen Person vorgenommen werden. Nach dem Zweckbindungsprinzip dürfen Personendaten lediglich zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. So darf eine Anbieterin von Fernmeldediensten die Daten der Anschlussinhaber nicht an eine Einwohnerkontrolle bekanntgeben. Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern. «Richtigkeit» bedeutet auch, dass die Daten vollständig und à jour sind, soweit es die Umstände erlauben. Die betroffene Person kann die Berichtigung unrichtiger Daten verlangen. «Vergewissern» heisst jedoch nicht, dass die Anbieterinnen von Fernmeldediensten beispielsweise jederzeit für einen aktuellen Verzeichniseintrag verantwortlich sind. Um zu vermeiden, dass durch eine Bekanntgabe von Personendaten ins Ausland erhebliche Risiken einer Persönlichkeitsverletzung der betroffenen Personen entstehen (beispielsweise durch eine Datenschutzgesetzgebung die der schweizerischen nicht gleichwertig ist) und um den Betroffenen die Ausübung des Auskunftsrechts zu erlauben, sieht das Gesetz folgendes vor: Eine Daten- sammlung ist vor der Übermittlung ins Ausland beim EDSB anzumelden, falls für die Übermittlung keine gesetzliche Pflicht besteht und die betroffenen Personen keine Kenntnis davon haben. Unter «Bekanntgabe ins Ausland» versteht man nicht nur die Weitergaben einer ganzen Datensammlung oder wesentlicher Teile davon, sondern auch das Zugänglichmachen von Daten im Abrufverfahren (online) sowie die Über- mittlung einer Datensammlung an einen Dritten, der die Personendaten im Auftrag des Übermittlers bearbeitet. Letzteres ist beispielsweise der Fall, wenn die Daten einer Anbieterin in der Schweiz zur Bearbeitung ins Ausland übermittelt werden. Ausgenommen von der Meldepflicht ist die Übermittlung von Datensammlungen für nicht personenbezogene Zwecke, insbesondere in der Forschung, Planung und Statistik, sofern die Form der Veröffentlichung der Resultate eine Identifizierung der betroffenen Personen nicht zulässt. Die Übermittlung von Datensammlungen in Staaten, die über eine gleichwertige Datenschutzgesetzgebung verfügen, muss dem EDSB ebenfalls nicht gemeldet werden. Ausnahme: Die Datensammlungen enthalten besonders schützenswerte Personendaten oder Persönlichkeitsprofile oder die Weiterleitung ist in ein Drittland ohne gleichwertige Gesetzgebung vorgesehen. Viele Datenschutzprobleme können vermieden werden, wenn rechtzeitig die nötigen Datensicherheitmassnahmen ergriffen werden. Die Technik kann auch dazu genutzt werden, um die Anforderung des Datenschutzes zu erfüllen, nur
46 die für den jeweiligen Zweck erforderlichen Daten zu bearbeiten. Wesentlich ist, dass nur diejenigen Personen Zugriff zu den Personendaten haben, die diese zu ihrer Arbeitserfüllung benötigen. Das Auskunftsrecht ist der Schlüssel des Datenschutzes für die betroffene Person. Nur so kann sie ihre Rechte geltend machen, insbesondere ihre Daten berichtigen oder löschen lassen. Das Auskunftsrecht hat im Übrigen eine präventive Wirkung. Auch wenn das Recht nur selten in Anspruch genommen wird, führt es tendenziell dazu, dass der Inhaber der Datensammlung nur diejenigen Daten bearbeitet, die er auch wirklich braucht. %HVWLPPXQJHQLP)HUQPHOGHUHFKW Die Anbieter von Fernmeldediensten dürfen die persönlichen Daten der Teilnehmer bearbeiten, soweit und solange dies für den Verbindungsaufbau und den Erhalt des für die entsprechenden Leistungen geschuldeten Entgelts notwendig ist. Das Fernmeldegeheimnis ist sowohl in der Bundesverfassung als auch im Fernmeldegesetz wie folgt festgeschrieben: Wer mit fernmeldedienstlichen Aufgaben betraut ist oder war, darf weder Dritten Angaben über den Fernmeldeverkehr (Inhalte und Randdaten) von Teilnehmern machen noch jemandem Gelegenheit geben, solche Angaben weiterzugeben. Die Anbieter von Fernmeldediensten sind allerdings gesetzlich verpflichtet, bei der Verfolgung eines Verbrechens oder Vergehens den zuständigen Justiz- und Polizeibehörden des Bundes und der Kantone auf Verlangen Auskunft über den Fernmeldeverkehr von Teilnehmern zu geben. Diese Verpflichtung gilt sinn- gemäss, wenn die Bundesanwaltschaft, das Oberauditorat oder eine kantonale Polizeidirektion die Überwachung des Fernmeldeverkehrs angeordnet hat, um ein Verbrechen oder Vergehen zu verhindern. Auf Verordnungsebene werden die Anbieter von Fernmeldediensten verpflichtet, die Randdaten auf jeden Fall während sechs Monaten zur Verfügung der zuständigen Behörden im Rahmen der Überwachung des Fernmeldeverkehrs zu halten. Die Verpflichtung zur sechsmonatigen Aufbewahrung von Daten unverdächtiger Personen über den eigentlichen Zweck hinaus und auf Vorrat stellt einen starken Eingriff in deren Persönlichkeit dar. Wollte man daran festhalten, müsste sie unbedingt in einem formellen Gesetz verankert werden. Nach dem geltenden Fernmelderecht steht es den Kunden frei, sich in Verzeichnisse eintragen zu lassen. Entschliesst sich ein Kunde, im Verzeichnis zu erscheinen, enthält sein Eintrag mindestens Name, Vorname oder Firmenname, Adresse und Rufnummer. Soweit keine Verwechslungsgefahr mit anderen im Verzeichnis aufgeführten Personen entsteht, können Vorname und Adresse in abgekürzter Form ohne Kostenfolgen ins Verzeichnis aufgenommen
47 werden. Wer in einem Verzeichnis eingetragen ist, kann eindeutig kennzeichnen lassen, dass er keine Werbeanrufe erhalten möchte und seine Daten zu Zwecken der Direktwerbung weder benutzt noch weitergegeben werden dürfen. Jeder, der ein Verzeichnis – in welcher Form auch immer – konsultiert, hat diese Willens- erklärung zu respektieren. Die Anbieterin eines elektronischen Online- Verzeichnisses muss die notwendigen Massnahmen treffen, damit keine Kopien in Bestimmungsländer gelangen, die nicht über ein mit der Schweiz vergleich- bares Niveau des Schutzes von Personendaten verfügen. Sie muss die geeigneten technischen und organisatorischen Massnahmen treffen, um zu verhindern, dass der Inhalt einer Eintragung oder eines Teils des Verzeichnisses geändert oder gelöscht wird. Durch den Wegfall der Eintragspflicht in Telekommunikationsverzeichnissen stellt sich für die Notrufdienste das Problem, Name und Adresse des Anrufenden zu ermitteln. Die Swisscom, die heute die Grundversorgung gewährleistet, hatte ihre Kunden im letzten Jahr darauf hingewiesen, dass diese in einem Notfall eventuell nicht identifiziert werden könnten, falls die Nummer nicht im Teilnehmerverzeichnis eingetragen ist. Es besteht allerdings eine gesetzliche Verpflichtung, den Zugang zu den Notrufdiensten so einzurichten, dass der Standort der Anrufenden identifiziert werden kann. Dies gilt explizit auch für Teilnehmer, die auf einen Eintrag im öffentlichen Verzeichnis verzichtet haben. Keinem Teilnehmer ausserhalb der Notrufnummern darf die Anzeige der Rufnummern der Anrufenden, die den Dienst Rufnummer- unterdrückung gewählt haben, gewährt werden. Anbieter von Fernmelde- diensten sollten ihren Kunden nicht mit diesem Argument von einer Streichung ihres Eintrags im Verzeichnis abraten, sondern für die Notrufdienste die Identifikation sicherstellen. Jeder Kunde kann (solange die Möglichkeit der Anfechtung seiner Rechnung besteht) von der Anbieterin von Fernmeldediensten Auskunft über die für die Rechnungsstellung verwendeten Daten verlangen. Dies gilt insbesondere für die Adressierungselemente (z.B. vollständige angewählte Telefonnummern), den Zeitpunkt der Verbindung (Datum, Zeit und Dauer) und das pro Verbindung geschuldete Entgelt. Falls ein Kunde schriftlich glaubhaft macht, sein Anschluss sei missbräuchlich angerufen worden, hat ihm der Anbieter von Fernmeldediensten folgende Daten mitzuteilen: Zeit des Anrufs; Rufnummer sowie Name und Adresse der Teilnehmer, von deren Anschluss die Anrufe erfolgten. Die Fernmeldedienstanbieter müssen ihren Kunden die Möglichkeit bieten, die Anzeige ihrer Rufnummer auf der Anlage des Angerufenen zu unterdrücken, und zwar für jeden Anruf einzeln oder als Dauerfunktion. Sie müssen dem Angerufenen die Möglichkeit bieten, eingehende Anrufe, bei denen die Anzeige der Rufnummer unterdrückt ist, zurückzuweisen. Die Fernmeldedienstanbieter
48 müssen ihre Kunden beim Abschluss des Abonnementsvertrags ausdrücklich auf die erwähnten Möglichkeiten hinweisen. ,QNDVVRGHU5DGLRXQG)HUQVHKJHEÅKUHQ 6HLWGHP-DQXDUZHUGHQGLH5DGLRXQG)HUQVHKHPSIDQJVJHEÅKUHQQLFKWPHKU YLD7HOHIRQUHFKQXQJHUKREHQVRQGHUQGXUFKGLH)LUPD%LOODJHLQH7RFKWHUJHVHOOVFKDIW GHU6ZLVVFRP6LHLVWYRP%XQGIÅUGDV,QNDVVRGHU*HEÅKUHQEHDXIWUDJWXQGJLOWLP 6LQQHGHV'DWHQVFKXW]JHVHW]HVDOV%XQGHVRUJDQ Im Laufe des Jahres 1998 wurde bekannt, dass Daten von Kunden der Swisscom an die Billag flossen. Die Billag verwendete die Daten für die Akquisition neuer meldepflichtiger Personen und für die Aktualisierung von Adressen. Die Datenflüsse waren möglich, da die Informatiksysteme der Swisscom und der Billag nicht ausreichend getrennt waren. Eine Weitergabe von Personendaten ihrer Kunden an Dritte kann die Swisscom jedoch ohne Einwilligung nicht vornehmen. Dies stellt eine Ausweitung des Verwendungs- zwecks dar, der für die Betroffenen nicht ersichtlich ist. Billag und Swisscom haben ab Anfang 1999 die Systeme derart getrennt, dass keine Daten der Swisscom ins System der Billag gelangen können. Keine Probleme ergeben sich für die Daten, die die Swisscom oder auch andere Fernmeldeanbieter in Verzeichnissen publiziert haben. Diese Daten dürfen von der Billag im Rahmen ihrer gesetzlichen Aufgaben auch dann verwendet werden, wenn der Vermerk «wünscht keine Werbung» beigefügt ist. Hinsichtlich der Befreiung der Gebührenpflicht haben wir festgestellt, dass bei der Billag besonders schützenswerte Daten ohne genügende gesetzliche Grundlage bearbeitet werden: Zu mindestens 50 Prozent erwerbsunfähige, invalide Personen mit geringem Einkommen sowie AHV-berechtigte Personen mit geringem Einkommen können ein Gesuch um Gebührenbefreiung stellen. Für die Ermittlung der Vermögens- und Einkommenssituation haben die Gesuchsteller ein umfangreiches Formular auszufüllen. Sie haben eine ärztliche Bescheinigung oder einen rechtskräftigen Entscheid der Invalidenversicherung über den Grad ihrer Erwerbsfähigkeit beizubringen. Die entsprechenden Formulare werden an die Billag gesandt und von ihr aufbewahrt. Sie enthalten unter anderem Daten über Massnahmen sozialer Hilfe und über die Gesundheit der Gesuchsteller. Diese Daten sind besonders schützenswert. Ein Bundesorgan darf sie nur bearbeiten, wenn dies ein formelles Gesetz vorsieht. Heute basiert die Bearbeitung lediglich auf einer Verordnungsbestimmung. Die Datenschutz-
49 konformität muss entweder durch die Schaffung einer entsprechenden Bestimmung im Radio- und Fernsehgesetz oder durch eine Neugestaltung der Datenflüsse hergestellt werden. Letztere wäre – auch im Sinne einer verhältnismässigen Datenbearbeitung - so zu erreichen, dass die Billag lediglich die Information erhält (z.B. von der Steuerverwaltung, die bereits über die Daten verfügen), dassjemand die Kriterien für die Gebührenbefreiung erfüllt. Die detaillierten Vermögensverhältnisse und das Vorliegen einer Invalidität wären dann nicht nötig. Im Rahmen der laufenden Revision der Radio- und Fernsehverordnung haben wir das Bundesamt für Kommunikation auf die Problematik hingewiesen und eine Lösung in Form der obengenannten Neugestaltung der Datenflüsse vorgeschlagen. Als Bundesorgan ist die Billag zudem verpflichtet, sämtliche Datensammlungen beim Eidg. Datenschutzbeauftragten zur Registrierung anzumelden. 'DV%RQXVSURJUDPP©-RNHU™GHU6ZLVVFRP ,P )HEUXDU GLHVHV -DKUHV KDW GLH 6ZLVVFRP XQWHU GHP 1DPHQ ©-RNHU™ HLQ .XQGHQELQGXQJVSURJUDPPHLQJHIÅKUW(QWVSUHFKHQGGHUNXPXOLHUWHQ8PVlW]HGLHHLQ .XQGHEHLGHU1XW]XQJGHUGLYHUVHQ6ZLVVFRP'LHQVWOHLVWXQJHQJHQHULHUWZHUGHQLKP 3XQNWHJXWJHVFKULHEHQGLHHUDXIYHUVFKLHGHQH:HLVHHLQO|VHQNDQQ(LQH(LQZLOOLJXQJ GHV.XQGHQLVWMHGRFKGDQQQ|WLJZHQQGLH'DWHQEHDUEHLWXQJZHLWHUJHKWDOVGLH XUVSUÅQJOLFKH'LHQVWOHLVWXQJ Die Swisscom hat erfreulicherweise frühzeitig mit uns Kontakt aufgenommen, um die mit diesem Programm verbundenen Datenschutzfragen zu klären. In einer ersten Phase werden lediglich die Umsätze, die aus der Nutzung der verschiedenen Dienste entstehen, für einen Kunden oder dessen ganzen Haushalt akkumuliert. Es werden – wie man uns versichert hat - keine persönlichen Kundenprofile über das detaillierte Kommunikationsverhalten erstellt. Die Daten werden jedoch für weitere Zwecke (Marketing- Auswertungen, Statistiken) verwendet. Dafür ist eine Einwilligung der betrof- fenen Personen nötig. Diese muss von der klaren Information über die vorgesehenen Datenbearbeitungen begleitet sein. Diese Erfordernisse hat die Swisscom auf ihrem Anmeldeformular erfüllt. Aufgrund der Informationen, die uns die Swisscom unterbreitet hat, steht das Programm für diese erste Phase im Einklang mit den geltenden Datenschutzbestimmungen. Aus Transparenzgründen wären folgende Verbesserungen wünschenswert, jedoch gesetzlich nicht zwingend: Meldet ein Kunde einen Anschluss einer
50 Person desselben Haushaltes für sein Punktekontos an, wird diese von der Swisscom angeschrieben und hat die Möglichkeit zu widersprechen. Bei einer Nicht-Reaktion wird automatisch angenommen, die Person sei einverstanden und die Punkte werden dem Inhaber des Punktekontos gutgeschrieben. Eine explizite Einwilligung (opting in) wäre aus Sicht des Datenschutzes sicherlich vorzuziehen und könnte allfälligen negativen Reaktionen vorbeugen. Im Zusammenhang mit derartigen Kundenprogrammen trat zudem die Frage auf, unter welchen Voraussetzungen Ermittlungsbehörden auf die entsprechen- den Kundendaten zugreifen dürfen. Die Herausgabe solcher Daten ist nur beim Vorliegen einer gerichtlichen Verfügung möglich oder falls die betroffene Person einwilligt. 3RVW (23267HRUHIHUHQ]LHUWH*HElXGHGDWHQVDPPOXQJGHU VFKZHL]HULVFKHQ3RVW 'LHVFKZHL]HULVFKH3RVWKDWXQVEHUHLWVLP-DKUHÅEHU,KU3URMHNWRULHQWLHUWGLH *HElXGHNRRUGLQDWHQGHU6FKZHL]]XHUIDVVHQ'DPDOVZDUYRQHLQHUQLFKWSHUVRQHQ EH]RJHQHQ'DWHQEHDUEHLWXQJGLH5HGH1XQVLQGRIIHQEDUZHLWHUH9HUZHQGXQJV]ZHFNH YRUJHVHKHQ Ende Mai 1997 hat uns die Post ihr Projekt «Match-GEO» vorgestellt. Im Vordergrund standen damals Routenoptimierungen für die Post, Navigations- systeme für Drittfirmen, Unterstützung von Notdiensten etc. Als Daten, die georeferenziert erhoben werden sollten, wurden Postleitzahl, Ort, Standort der Poststellen, Strassen und Hausnummern genannt. Von einer personenbezogenen Bearbeitung der Daten war damals nicht die Rede. Im Herbst 1998 haben wir erfahren, dass der Zweck des Projektes, das sich mittlerweile «GEO-POST» nennt, ausgeweitet wird. Zudem soll offenbar Post- personal beauftragt werden, zusätzliche Informationen über Häuser und Wohnungen zu erheben. Ein im Internet abrufbares Informationsangebot der Post wirbt gar mit der Verknüpfung der Datenbank mit Kundenadressen (z.B. für Marketingzwecke). Eine solche Bearbeitung kann nicht ohne Einwilligung der betroffenen
51 Personen erfolgen. Wir haben bei der Post interveniert und zusätzliche Informationen verlangt. In unserem 5. Tätigkeitsbericht (Seite 71 ff.) haben wir grundsätzlich zu Datenschutzrisiken geokodierter Daten Stellung genommen. %HNDQQWJDEHYRQ1DPHQYRQ3RVWIDFKLQKDEHUQGXUFKGLH3RVW :LOOMHPDQG$XVNXQIWZHUGHU,QKDEHUHLQHV3RVWIDFKVLVWPXVVHUJHJHQÅEHUGHU3RVW HLQEHUHFKWLJWHV,QWHUHVVHJODXEKDIWPDFKHQ5HLQH1HXJLHUUHLFKWGD]XQLFKWDXV $OOHUGLQJVLVWHLQ3RVWIDFKQLFKWGD]XGDLOOHJDOH$NWLYLWlWHQVHLQHV,QKDEHUV]X VFKÅW]HQ Gelegentlich erhalten wir Anfragen im Zusammenhang mit der Bekanntgabe der Identität von Postfachinhabern, sei es von Personen, die sich gegen eine Person oder Firma, von der sie nur eine Postfachadresse kennen, zur Wehr setzen wollen oder von Postfachinhabern selbst, die ihre Privatsphäre schützen möchten. Gemäss den allgemeinen Geschäftsbedingungen der Post über die Benutzung eines Postfachs ist die Bekanntgabe von Name und Adresse eines Fachinhabers nur dann möglich, wenn ein berechtigtes Interesse glaubhaft gemacht wird. Reine Neugier oder auch eine einmalige Werbebotschaft, die als Belästigung empfunden wird, genügt als Interesse nicht. Das Postfach ist allerdings auch nicht dazu geschaffen worden, dem Inhaber eine absolute Anonymität zu garantieren. Es soll ihn bei der Begehung von unseriösen oder gar illegalen Aktivitäten nicht schützen. Beispielsweise wäre die Existenz einer nicht beglichenen finanziellen Forderung ein berechtigtes Interesse eines Gläubigers. Im Einzelfall mag die Beurteilung nicht immer ganz einfach sein. Die Post, versicherte uns jedoch, dass sie hohe Anfoderungen an die Glauhaftmachung stellt und die Anfragen seriös prüft.
52 ,QWHUQHWXQGGDWHQVFKXW]IUHXQGOLFKH7HFKQRORJLHQ 'DWHQVFKXW]NRQIRUPH *HVWDOWXQJ HLQHU :HEVLWH XQG GLH GDPLW YHUEXQGHQHQ9RUWHLOH 'LH,PSOHPHQWLHUXQJHLQHUGDWHQVFKXW]JHUHFKWHQ'DWHQEHDUEHLWXQJVSROLWLNNDQQVLFK GXUFKDXVDXV]DKOHQ'DV9HUWUDXHQGHU%HQXW]HUZLUGGDGXUFKJHVWlUNW'LHVZLUGPLW HLQHUK|KHUHQ.XQGHQWUHXHXQGLQGHU5HJHODXFKPLW]XVlW]OLFKHQ.XQGHQEHORKQW (LQHLQGHQ86$GXUFKJHIÅKUWH6WXGLH]HLJWGDVVGHU6FKXW]GHU3ULYDWVSKlUHGHU ZLFKWLJVWH)DNWRULVWXPQHXH.XQGHQIÅUGLH%HQXW]XQJYRQ2QOLQH'LHQVWOHLVWXQJHQ ]XJHZLQQHQ Die Konsumenten und Benutzer von On-line Dienstleistungen sind sich nicht immer über das Ausmass von Informationen bewusst. Über die Websites sollen die Vorlieben der Kunden eruiert werden. Solche Informationen werden auch Dritten verkauft. Deshalb weigern sich die Benutzer in vielen Fällen, ihre Informationen im Web preiszugeben. Denn die Anbieter können nicht überzeugend beantworten, warum die Informationen gesammelt werden oder wie sie verwendet werden. Nur eine kleine Anzahl von Websites geben genaue Angaben zum Persönlichkeitsschutz bzw. zeigen auf, wie die gesammelten Personendaten verwendet werden. Wir empfehlen daher Website-Betreibern, eine Politik für den Persönlichkeits- schutz zu entwickeln, um einerseits den gesetzlichen Anforderungen (Transparenz, Information, Wahlmöglichkeiten, Sicherheit, Einwilligungen) zu genügen. Andererseits soll auf diese Weise das Vertrauen bei ihren Kunden und bei zukünftigen Benutzern geschaffen werden. Insbesondere sollten folgende Vorkehrungen getroffen werden:
53
54
55 XQPLWWHOEDU VHOEVW VFKÅW]HQ N|QQHQ PÅVVHQ VRJHQDQQWH GDWHQVFKXW]IUHXQGOLFKH 7HFKQRORJLHQHLQJHVHW]WXQGJHI|UGHUWZHUGHQ Ein Merkmal von Internet und anderen On-line-Diensten ist ihr Potenzial, ein grosses Volumen von verschiedenen Datentransaktionen zu generieren. Der Zugang der Benutzer zu On-line-Diensten ist sehr selten anonym. Zudem sind die Risiken, die durch On-line-Tätigkeit für die Privatsphäre entstehen, den meisten Benutzern nicht bekannt. Somit erhöht sich die Bedrohung der Privat- sphäre der Betroffenen, und es sind Vorkehrungen zu treffen, die das Erheben von Personendaten auf ein Mindestmass beschränken. Deshalb ist hinsichtlich auf den Schutz der Privatsphäre mit technischen Mitteln – soweit machbar – dem berechtigten Bedürfnis nach Anonymität in On-line-Diensten Rechnung zu tragen. Denn in Zeiten der weltweiten Datennetze reichen Datenschutzgesetze alleine nicht mehr aus, um das Recht auf Privatsphäre zu schützen. Deshalb muss die Technik so eingesetzt werden, dass Datenbearbeitungssysteme so gestaltet werden, um von vornherein die Bearbeitung von Personendaten auf das Notwendige zu beschränken. Bereits heute bestehen Möglichkeiten, datenschutzfreundliche Technik einzusetzen, um Systeme datensparsam zu gestalten oder die Anonymität zu gewähren (Verschlüsselungsverfahren, Einsatz von Pseudonymen in Fällen, wo die Identifikation der Person nicht notwendig ist, wiederaufladbare Chipkarten usw.). Von diesen Möglichkeiten wird jedoch in der Praxis noch zu wenig Gebrauch gemacht. Deshalb empfehlen wir Dienstleistungsanbietern und Herstellern, datenschutzfreundliche Technologien vermehrt einzusetzen.
56 'DWHQVFKXW]XQGHFRPPHUFH 0LQGHVWDQIRUGHUXQJHQIÅUGHQ6FKXW]GHU3ULYDWVSKlUHLP8PIHOG GHVHOHNWURQLVFKHQ+DQGHOV 'HU%HJULIIGHVHOHNWURQLVFKHQ*HVFKlIWVYHUNHKUVHOHFWURQLFFRPPHUFHXPIDVVWDOOH )RUPHQHOHNWURQLVFKHU7UDQVDNWLRQHQLP:LUWVFKDIWVOHEHQ)UÅKHUEHVFKUlQNWHVLFKGHU HOHNWURQLVFKH *HVFKlIWVYHUNHKU YRUQHKPOLFK DXI GLH $EZLFNOXQJ YRQ *HVFKlIWHQ LQQHUKDOE JHVFKORVVHQHU %HQXW]HUJUXSSHQ ,QVEHVRQGHUH GXUFK GHQ $XVEDX GHV ,QWHUQHWVLVWHVHLQHQHXHXQGZLFKWLJH)RUPGHUJHVFKlIWOLFKHQ$EZLFNOXQJJHZRUGHQ Der globale Charakter des elektronischen Geschäftsverkehrs bringt einen intensiven Austausch von Personendaten mit sich, der unter Umständen die Privatsphäre der betroffenen Personen verletzen kann. Von grosser Bedeutung ist deshalb, dass die Grundprinzipien des Datenschutzes auch im Umfeld des elektronischen Geschäftsverkehrs Anwendung finden. Denn durch den Schutz der Privatsphäre wird das Vertrauen der Benutzer in den elektronischen Geschäftsverkehr gestärkt. Die Rechtssicherheit ist wiederum ein wesentliches Kriterium für die Vertrauensbildung der Benutzer und verleiht demzufolge auch die notwendige Akzeptanz für den elektronischen Geschäftsverkehr. Ein Geschäftsmann oder ein Benutzer wird Angebote des elektronischen Geschäfts- verkehrs nur dann nutzen, wenn Dritten der Zugriff auf vertrauliche Informationen vollkommen unmöglich ist. Ein Benutzer wird eher eine auf dem elektronischen Weg angebotene Dienstleistung nutzen, wenn seine Personen- daten nicht gegen seinen Willen für andere Zwecke bearbeitet oder gespeichert werden (vgl. Ottawa Konferenz zum elektronischen Geschäftsverkehr S. 155). Das Bundesamt für Aussenwirtschaft (BAWI), welches beauftragt wurde, einen Aktionsplan für den elektronischen Geschäftsverkehr zu verfassen, hat uns konsultiert. Wir haben dann auf die wesentlichen Massnahmen zum Schutz der Privatsphäre im Bereich des elektronischen Geschäftsverkehrs aufmerksam gemacht. Die Massnahmen wurden im Aktionsplan integriert und lauten wie folgt:
57
58 3HUVRQDOZHVHQ %XQGHVYHUZDOWXQJ 'LH%HNDQQWJDEHYRQ3KRWRVGHV3HUVRQDOVGHU%XQGHVYHUZDOWXQJ 2EGLH%HDUEUHLWXQJYRQ3KRWRVLP(LQ]HOIDOORGHUGXUFK$EUXIYHUIDKUHQHUIROJHQGDUI KlQJW LP :HVHQWOLFKHQ YRP MHZHLOLJHQ .RPPXQLNDWLRQVPLWWHO VRZLH YRP (PSIlQJHUNUHLVDE'LH3XEOLNDWLRQLP(LQ]HOIDOOLVWPLW(LQZLOOLJXQJGHUEHWURIIHQHQ 3HUVRQ]XOlVVLJZlKUHQGDXIGLH9HUEUHLWXQJYRQ3KRWRVGXUFK$EUXIYHUIDKUHQ]% LP,QWUDQHWXQVHUHU0HLQXQJQDFKYHU]LFKWHWZHUGHQVROOWH8QDEKlQJLJGDYRQGDVV GHU*HVHW]PlVVLJNHLWVJUXQGVDW]QLFKWHUIÅOOWLVWLVWGLHVH%HNDQQWJDEH]XU(UIÅOOXQJGHU JHVHW]OLFKHQ $XIJDEHQ GHU %XQGHVYHUZDOWXQJ QLFKW ]ZHFNGLHQOLFKXQG NDQQ LQ EHVWLPPWHQ)lOOHQEHVRQGHUVVFKÅW]HQVZHUWH'DWHQZLH5DVVHRGHU5HOLJLRQGHU EHWURIIHQHQ3HUVRQHQSUHLVJHEHQ In einigen Verwaltungseinheiten ist es üblich, das Photo der neuen Bediensteten in der Zeitung zu veröffentlichen oder dem Personal per e-mail zuzustellen. Wir vertreten die Auffassung, dass diese Kommunikationsart, die als Bekanntgabe im Einzelfall betrachtet werden kann, mit der Einwilligung der betroffenen Person zulässig ist. Die Informationen sind zwar hinsichtlich der Verhältnis- mässigkeit zur Aufgabenerfüllung der betroffenen Verwaltungseinheit nicht wirklich unentbehrlich, gehören aber zur Unternehmenskultur und bezwecken insbesondere, Neuankömmlinge bekannt zu machen und einen gewissen Zusammenhalt unter dem Personal des jeweiligen Organs zu wahren. Mitarbeiter eines Amtes erhoben Einwände gegen das Vorhaben, dass neben Personendaten über sie auch systematisch ihre Photos im Intranet verbreitet werden. Der Projektverantwortliche setzte sich über die Einwände der Beteiligten hinweg. Daher kontaktierten wir die Amtsdirektion und ersuchten sie aus folgenden Gründen, die Verbreitung der Photos zu sperren und bereits gespeicherte Bilder zu vernichten. Die Verbreitung stellt eine Bekanntgabe im Abrufverfahren dar, welche auf einer Gesetzesgrundlage beruhen muss, um rechtmässig zu sein. Zur Schaffung der Gesetzesbasis muss jedoch die fragliche Bekanntgabe nachweislich not- wendig sein. Auf den vorliegenden Fall trifft dies nicht zu, denn mit Blick auf die Verhältnismässigkeit erscheint es überflüssig, Photos von Bediensteten einer Verwaltungsstelle im Intranet zu publizieren : Die Photos sind weder für
59 die gesetzliche Aufgabenerfüllung des Amtes noch für Bedienstete anderer Stellen, die mit dem Amt in Kontakt treten, erforderlich. Die Verbreitung beinhaltet auch Risiken für die Sicherheit des Personals, das in exponierten Bereichen arbeitet. Die Gefahr darf nicht unterschätzt werden, denn der anscheinend kleine Empfängerkreis von Intranet-Informationen ist relativ. Unseres Wissens hat nicht nur der Bund Zugriff darauf. Des Weiteren wird die Datensicherheit nicht gewährleistet, und der Netzzugang Unbefugter ist nicht auszuschliessen. Schliesslich enthüllt eine mit einem Informationsträger vergleichbare Photo- graphie nicht nur Personendaten, sondern kann in bestimmten Fällen auch besonders schützenswerte Daten wie Religion oder Rassenzugehörigkeit enthalten. %HNDQQWJDEH YRQ 'LV]LSOLQDUYHUIÅJXQJHQ PLW %HJUÅQGXQJ XQG *HVXQGKHLWVGDWHQ 'LH=XOlVVLJNHLWGHU%HNDQQWJDEHYRQ'LV]LSOLQDUYHUIÅJXQJHQPLW%HJUÅQGXQJXQG *HVXQGKHLWVGDWHQ GXUFK GHQ 5HFKWVGLHQVW DQ GHQ 3HUVRQDOGLHQVW GHU JOHLFKHQ 9HUZDOWXQJDEWHLOXQJKlQJWYRP8PIDQJGHV0LWVSUDFKHUHFKWHVGHV3HUVRQDOGLHQVWHVLQ 'LV]LSOLQDUDQJHOHJHQKHLWHQDE'DV0LWVSUDFKHUHFKWLVWDXIJUXQGGHUGLIIHULHUHQGHQ $XIJDEHQRULHQWLHUXQJHQGHU3HUVRQDOGLHQVWHGHU%XQGHVYHUZDOWXQJYRQ)DOO]X)DOO XQWHUVFKLHGOLFK,VWHLQ3HUVRQDOGLHQVWQLFKWPLWVSUDFKHEHUHFKWLJWVRKDWHUQXU $QVSUXFKDXIGDV9HUIÅJXQJVGLVSRVLWLY Der Chef des Rechtsdienstes einer Abteilung der Bundesverwaltung hat uns die Frage gestellt, ob es zulässig sei, dass die vom Rechtsdienst erlassenen Disziplinarverfügungen samt Begründung und Gesundheitsdaten an den Personaldienst der gleichen Verwaltungsabteilung zugestellt werden. Wir haben ihm folgende Antwort gegeben: Die ärztliche Schweigepflicht verpflichtet den Arzt, Informationen, die ihm im Rahmen seiner beruflichen Tätigkeit anvertraut worden sind oder die er in dessen Ausübung wahrgenommen hat, geheim- zuhalten. Patientendaten dürfen gegenüber Dritten nur offenbart werden, wenn der Patient beispielsweise den Arzt von seiner Schweigepflicht befreit oder ein Gesetz dies erlaubt. Personen, deren Beruf die Kenntnis besonders schützenswerter Personendaten erfordert, unterstehen der beruflichen Schweigepflicht. Der Tatbestand der Verletzung der beruflichen Schweigepflicht tritt dann ein, wenn diese Personen die ihnen anvertrauten,
60 besonders schützenswerten Personendaten unbefugt bekanntgeben. Unbefugt ist eine Datenweitergabe etwa dann, wenn sie an Personen erfolgt, deren beruflichen Tätigkeit die Kenntnis von besonders schützenswerten Personen- daten nicht erfordert. In einem solchen Fall würde die Datenbekanntgabe gegen das Zweckmässigkeits- und Verhältnismässigkeitsprinzip verstossen. Hinzu kommt, dass Organe des Bundes Personendaten bearbeiten dürfen, wenn dafür eine gesetzliche Grundlage besteht. Ausnahmsweise dürfen Personendaten ohne gesetzliche Grundlage bekanntgegeben werden, wenn die Daten für den Empfänger im Einzelfall zur Erfüllung seiner gesetzlichen Aufgaben unentbehrlich sind oder die betroffene Person im Einzelfall eingewilligt hat oder die Einwilligung nach den Umständen vorausgesetzt werden darf. Vorliegend stellt sich die Frage, ob ein Personaldienst einzelfallweise befugt ist, in die Begründung von Disziplinarverfügungen, welche in unstrukturierter Form u. a. auch sensible Gesundheitsdaten enthalten und in ihrer Gesamtheit ein Persönlichkeitsprofil ergeben können, Einsicht zu nehmen. Unsere Untersu- chungen haben ergeben, dass in der Bundesverwaltung diesbezüglich verschiedene Praktiken existieren. In gewissen Verwaltungseinheiten sind die Personaldienste in Disziplinarfällen nicht nur mitspracheberechtigt, sondern sogar entscheidungsbefugt. Im letzteren Fall ist es der Personaldienst, welcher die Disziplinarverfügung unter Beizug von Juristen erlässt. In solchen Fällen hat der entsprechende Personaldienst in sämtliche, der Verfügung zugrundelie- genden Dokumente Einsicht. Da das Mitspracherecht von der - in der Bundesverwaltung unterschiedlichen - Aufgabenorientierung der Personaldienste abhängig ist, haben wir der ratsuchenden Person vorgeschlagen, in Zusammenarbeit mit dem Personaldienst ihrer Verwaltungseinheit abzuklären, inwiefern diese bei Disziplinar- verfügungen mitspracheberechtigt sei. Sollte sich aufgrund der Abklärungen ergeben, dass der Personaldienst aufgrund seiner spezifischen Aufgaben nicht mitspracheberechtigt ist, so sei ihm für die Erfüllung seiner administrativen Aufgaben nur das Verfügungsdispositiv zur Verfügung zu stellen. %HNDQQWJDEHYRQ$UEHLWVORVHQGDWHQDQGLH6FKXOGEHWUHLEXQJV EHK|UGHQ 'DV%XQGHVJHULFKWKDWVLFK]XP9HUKlOWQLV]ZLVFKHQGHU6FKZHLJHSIOLFKWGHU%HK|UGHQ GHU$UEHLWVORVHQYHUVLFKHUXQJXQGGHUDOOJHPHLQHQEHWUHLEXQJVUHFKWOLFKHQ$XVNXQIWV SIOLFKWJHlXVVHUW'DV8UWHLOKDWEHLGHQVR]LDOYHUVLFKHUXQJVUHFKWOLFKHQ%HK|UGHQQLFKW GLHJHZÅQVFKWH$N]HSWDQ]JHIXQGHQ
61 Das Bundesamt für Wirtschaft und Arbeit (BWA) hat uns anfangs 1997 um eine Stellungnahme zur Frage des Verhältnisses zwischen der Geheimhaltungspflicht der Arbeitslosenversicherungsgesetzgebung und der Auskunftsregelung des Schuldbetreibungs- und Konkursrechtes ersucht. In unserer Stellungnahme vom 9. April 1997 (vgl. 5. Tätigkeitsbericht, S. 125, sowie Verwaltungspraxis des Bundes, VPB 1997 III S. 664ff) sind wir zum Schluss gekommen, dass die Regelung der Datenbekanntgabe in der Arbeitslosenversicherungsgesetzgebung gegenüber der allgemeinen, nicht näher präzisierten und entstehungs- geschichtlich umstrittenen Bekanntgaberegelung im Schuldbetreibungs- und Konkursrechtes als OH[VSHFLDOLV zu betrachten ist. Die Bekanntgabe von Arbeitslosendaten an Betreibungsbehörden ohne Einwilligung der Versicherten soll künftig erst möglich sein, wenn dies im Arbeitslosenversicherungsgesetz (AVIG) ausdrücklich vorgesehen ist. Auch das Schuldbetreibungs- und Konkursgesetz (SchKG) bedarf einer entsprechenden Präzisierung. In der Folge hiess das Bundesgericht mit Entscheid vom 24. März 1998 eine Beschwerde des Betreibungsamtes Zürich gegen den Beschluss des Obergerichtes des Kantons Zürich gut (BGE 124 III 170; vgl. dazu Kommentar von M. Fey, in «Aktuelle juristische Praxis», 10/98). Es begründete seinen Entscheid im Wesentlichen damit, dass der Schweizerische Gesetzgeber die im Bereich der Sozial- versicherung, insbesondere der Arbeitslosenversicherung, tätigen Ämter von der Auskunftspflicht gegenüber Betreibungsämtern nicht ganz oder teilweise ausgeschlossen hat. Bei der Frage nach dem Verhältnis der Auskunftspflicht gemäss SchKG zur Schweigepflicht der Arbeitslosenversicherungs- gesetzgebung begnügt sich jedoch das Bundesgericht mit einem Hinweis auf die frühere Praxis, wonach die Auskunft nicht unter Berufung auf die Schweigepflicht (Art. 19 Abs. 4 DSG) verweigert werden könne, wenn der Schuldner selbst auskunftspflichtig ist. Das Bundesgericht hat ihren Entscheid auch gestützt auf Art. 19 Abs. 1 lit. a DSG begründet, wonach Bundesorgane Personendaten bekanntgeben dürfen, wenn die Daten für den Empfänger im Einzelfall zur Erfüllung seiner gesetzlichen Aufgabe unentbehrlich sind. Dabei übersieht es aber, dass die Dateneinholung durch die Betreibungsbehörden bei den Arbeitslosenversicherungsbehörden nicht im Einzelfall, sondern immer mehr regelmässig und systematisch erfolgen. Dafür sind aber gesetzliche Grundlagen notwendig. Da die fraglichen Datenbearbeitungen und –bekanntgaben datenschutzrechtlich teilweise bedenklich sind, kontaktierten wir in der Folge das Bundesgericht und ersuchten es um Erlass einer auf das Schuldbetreibungsrecht gestützten Verordnung über die Bearbeitung von Personendaten durch die Schuld- betreibungs- und Konkursbehörden. Wir begründeten unser Gesuch damit, dass einerseits die Praxis der Auskunftserteilung in den einzelnen Kantonen nicht einheitlich ist, andererseits eine klare Regelung die nötige Transparenz und Rechtssicherheit für die involvierten Behörden und Amtspersonen schaffen würde. Das Bundesgericht wies unser Gesuch ab im Wesentlichen mit der
62 Begründung, es bestehe kein Handlungsbedarf. Das Bundesgericht könne im Übrigen allfällige Widersprüche zwischen SchKG und DSG nicht beseitigen. Das BWA erliess Ende 1998 eine Weisung zur Regelung der Amtshilfe zwischen Versicherungsbehörden und Schuldbetreibungsämtern als Ergänzung zur Regelung der Schweigepflicht im Arbeitslosenversicherungsrecht. Die Weisung sieht vor, dass Personen, die an der Durchführung, der Kontrolle oder der Beaufsichtigung der Versicherung beteiligt sind, auf Anfrage hin kostenlos Auskünfte an SchKG-Behörden geben, wenn diese geltend machen, dass sie die Auskünfte zur Ausübung der ihnen gesetzlich übertragenen Aufgaben benötigen. Zuständig für die Berechnung des Existenzminimum bzw. dessen Festsetzung oder Änderung sind allein die Betreibungsbehörden, wobei deren Verfügungen mit betreibungsrechtlicher Beschwerde angefochten werden können. Die Arbeitslosenkassen dürfen deshalb die pfändbare Quote bzw. das von den Betreibungsbehörden berechnete Existenzminimum nicht von sich aus ändern, auch nicht im Zusammenhang mit einem Zwischenverdienst. Bei der Taggeldpfändung kann direkt auf die das Existenzminimum überschiessenden ALV-Leistungen gegriffen werden, indem die SchKG-Behörden in ihren Verfügungsdispositiven anstelle einer ziffernmässig bestimmten Betrages eine Formulierung verwenden wie beispielsweise «die das Existenzminimum von Fr. x übersteigenden ALV-Leistungen werden gepfändet». Mit einer solchen nach oben offenen Pfändung kann jeden Monat das rechtlich maximal Mögliche, nämlich die Gesamtheit der systembedingt monatlich schwankenden aber über das Existenzminimum hinausgehenden ALV-Leistungen, an die Betreibungs- behörden abgeführt werden. Wir haben diese Lösung als Übergangsregelung akzeptiert, nachdem wir eine Delegation von Vertretern der Schuldbetreibungs- und Konkursämter getroffen haben. Das BWA wie die übrigen Sozialversicherungsorgane werden das AVIG im Rahmen der Anpassung der Bundesgesetzgebung an Art. 38 DSG entsprechend revidieren. %HDPWHQJHVHW]JHEXQJXQG%93/86 'LH GDWHQVFKXW]UHFKWOLFKHQ $QIRUGHUXQJHQ DQ GLH JHVHW]OLFKH *UXQGODJH IÅU GLH %HDUEHLWXQJGHU'DWHQGHV%XQGHVSHUVRQDOVVLQGLP(QWZXUIGHVQHXHQ%XQGHV SHUVRQDOJHVHW]HVQLFKWJHQÅJHQGXPJHVHW]WZRUGHQ
63 %HVFKOXVVGHV%XQGHVUDWHVIÅUGDVQHXH3HUVRQDOLQIRUPDWLRQVV\VWHPGHU%XQGHVYHUZDOWXQJ Der Bundesrat hat am 19. Dezember 1997 beschlossen, den Einsatz der Standardsoftware SAP R/3 HR für die Informatikunterstützung der allgemeinen Bundesverwaltung als verbindlich zu erklären. Nach dem Beschluss des Bundesrats soll ein zentrales Kernsystem realisiert werden, welches die in allen Bereichen gemeinsamen Funktionen und die zentralen Bedürfnisse abdeckt. Die übrigen Funktionen der Standardsoftware sollen die Departemente, Gruppen und Ämter individuell nutzen können. Mit der Realisierung des neuen Personal- informationssystems ist das EFD beauftragt worden. Aufgrund dieses Beschlusses haben wir das EFD ersucht, im Sinne unserer Empfehlung vom 4. Juli 1996 (vgl. 4. Tätigkeitsbericht, S. 125) endlich zu entscheiden, dass die Bearbeitung von Personendaten des Bundespersonals lediglich für die Lohn- bewirtschaftung zentral eingesetzt werden soll (vgl. 4. Tätigkeitsbericht. S. 34 ff.). Bezüglich dieses Entscheides liess uns das EFD wissen, dass er erst nach Vornahme der Voranalyse getroffen werden kann, frühestens jedoch Ende 1998. Die Voranalyse lag Ende Oktober 1998 vor. 'DVQHXH%XQGHVSHUVRQDOJHVHW] Nach dem Entscheid des Bundesrates hat das EFD das Vernehmlassungs- verfahren zum Entwurf eines Bundespersonalgesetzes gestartet. Anfangs Dezember 1998 ist dann der Entwurf des Bundespersonalgesetzes zur Stellung- nahme eingetroffen. Wie wir es auch anlässlich des Verfahrens zur Anpassung des Beamtengesetzes an das DSG wiederholt feststellen mussten, wurden die datenschutzrechtlichen Bedürfnissen auch im Entwurf des neuen Bundes- personalgesetzes nicht berücksichtigt. Insbesondere wurde weder der gesetzlichen Verankerung des BV-PLUS noch der Bearbeitung von medizi- nischen Daten des Bundespersonals Genüge getan. Somit wurden auch die von der Geschäftsprüfungskommission des Nationalrates geäusserten Anforderungen an die gesetzliche Grundlage nicht umgesetzt. Wir konnten uns somit dem Gesetzsentwurf nicht anschliessen. 'LH9HURUGQXQJ]XP6FKXW]GHU'DWHQGHV%XQGHVSHUVRQDOV Nach der Fristverlängerung zur Anpassung der erforderlichen Rechtsgrundlagen an das DSG (Siehe auch S. 129) liess das EFD die Arbeiten zur Schaffung einer Verordnung zum Schutz der Daten des Bundespersonals fallen. Begründung: Der Bundesrat habe mit Schreiben vom 27. April 1998 zugesichert, die gesetzlichen Grundlagen für den Schutz der Daten des Bundespersonals, insbesondere der Gesundheitsdaten, im Rahmen der Totalrevision des Beamtengesetzes bzw. der Schaffung des neuen Bundespersonalgesetzes sowie der Überarbeitung der Verordnung über den ärztlichen Dienst der
64 Bundesverwaltung erarbeiten zu lassen. Wir sind gegenüber dem EFD weiterhin der Auffassung, dass diese Verordnung unabhängig von der Schaffung der formellgesetzlichen Grundlagen für BV-PLUS zu schaffen ist. Dies um so mehr, als die gesetzlichen Grundlagen des Rundschreibens des Eidg. Personalamtes vom 26. Januar 1984 – d. h. die Richtlinien des Bundesrates vom 16. März 1981 – abgeschafft worden sind. Bis die Verordnung zum Schutz der Daten des Bundespersonals realisiert wird, bleibt das Rundschreiben des Eidg. Personal- amtes vom 26. Januar 1984 über den Schutz von Personaldaten in der allgemeinen Bundesverwaltung in Kraft (siehe unsere Internet-Seite www.edsb.ch). $XI]HLFKQXQJGHU%HQXW]HUDNWLYLWlWHQEHLP(LQVDW]GHV,QWHUQHWVLQ GHU%XQGHVYHUZDOWXQJ 'LH,QIRUPDWLN.RQIHUHQ]%XQGYRP6HSWHPEHUIUDJWHGHQ(LGJ'DWHQVFKXW]EH DXIWUDJWHQDQZHOFKH5DKPHQEHGLQJXQJHQDXVGHU6LFKWGHV'DWHQVFKXW]HVHLQ]XKDOWHQ VLQGZHQQXD%HQXW]HUDNWLYLWlWHQEHLP*HEUDXFKGHV,QWHUQHWVDXIJH]HLFKQHWZHUGHQ VROOHQ Bis zur oben aufgeführten Anfrage mussten die Mitarbeiter in der Bundesver- waltung ein Formular unterzeichnen, damit ihnen der Zugriff auf das Internet gewährt wurde. Mit der Unterschrift erklärten sich die Benutzer auch einverstanden, dass ihre Aktivitäten zu einem grossen Teil auf einem Daten- speicher im Firewall aufgezeichnet werden. Durch diese Internetprotokollierung besteht allerdings die Gefahr, dass man Persönlichkeitsprofile der Mitarbeiter aufzeichnet. Zudem besteht das Risiko, dass die Protokolldaten für die Überwa- chung der Mitarbeiter benutzt werden (Zweckentfremdung). Gemäss Art. 17 Abs. 2 lit. c DSG dürfen ausnahmsweise Persönlichkeitsprofile u. a. bearbeitet werden, wenn die betroffenen Personen im Einzelfall einge- willigt oder ihre Daten allgemein zugänglich gemacht haben. Es gilt aber zu beachten, dass die Einwilligung nicht pauschal erfolgen darf, sondern sich auf einen bestimmten Einzelfall beziehen muss. Kann man sich weder auf die einzelfallweise Zustimmung des Benutzers noch auf eine allgemeine Zugäng- lichkeit der Daten abstützen, so ist für die Bearbeitung von Persönlichkeitsprofilen eine Rechtsgrundlage in Form eines formellen Gesetzes notwendig (Art. 17 Abs. 2 DSG). Bevor man aber eine Rechtsgrundlage erarbeitet, muss grundsätzlich abgeklärt werden, ob die Bearbeitung von Personendaten für die Aufgabenerfüllung überhaupt notwendig ist (Verhältnismässigkeitsprinzip). Im vorliegenden Fall besteht heute keine rechtliche Grundlage. Ein datenschutzkonformes Steuerungsinstrument für die
65 Internetbenutzung kann heute ohne Rechtsgrundlage zur Verfügung gestellt werden, wenn bei der Protokollierung wie folgt vorgegangen wird: Die Aufzeichnung von Zieladressen, welche die Internetbenutzer der Bundes- verwaltung anwählen als auch die Organisationseinheiten (z. B. Ämter oder Abteilungen), aus der die jeweilige Abfrage stammt, dürfen aufgezeichnet werden, soweit die Abfragenden im Einzelnen nicht identifizierbar sind. Eine solche Protokollierung wäre datenschutzkonform, weil z. B. Ämter keine juristischen Personen sind und deshalb nicht unter den Schutz des Datenschutz- gesetzes fallen. Durch die stichprobenartige Auswertung dieser Protokolle wäre die Linie in der Lage festzustellen, inwieweit das Internet für die Aufgabenerfüllung eingesetzt wird. 3ULYDWEHUHLFK /LQNVKlQGLJH=HLFKQHUDXI$UEHLWVVXFKH 'LH(LJQXQJHLQHV%HZHUEHUVIÅUGLH=HLFKQHUWlWLJNHLWEHXUWHLOWVLFKDXIJUXQGYRQ .ULWHULHQGLHPLWGHU$QJDEH©OLQNV™E]Z©UHFKWVKlQGLJ™LQNHLQHP=XVDPPHQKDQJ VWHKHQ'LHIUDJOLFKH$QJDEHEHWULIIWMHGRFKHLQHQ6DFKYHUKDOWZHOFKHUIÅUGLH (UIÅOOXQJGHV$UEHLWVYHUWUDJHVMHQDFKNRQNUHWHU6LWXDWLRQILQDQ]LHOOH/DJHRGHU *U|VVHHLQHU)LUPDPHKURGHUZHQLJHUYRQ%HGHXWXQJVHLQNDQQ6RNDQQGHU.DXI HLQHU=HLFKHQPDVFKLQHIÅU/LQNVKlQGHUXQWHU8PVWlQGHQHLQHXQYHUKlOWQLVPlVVLJKRKH ,QYHVWLWLRQGDUVWHOOHQ,QVROFKHQ)lOOHQLVWGLH)UDJHRE©OLQNV™RGHU©UHFKWVKlQGLJ™ JHUHFKWIHUWLJW Ein linkshändiger Zeichner hat uns ersucht, zur Zulässigkeit der Frage «links-» bzw. «rechtshändig» in Bewerbungsformularen Stellung zu nehmen. Wir sind zu folgenden Schlussfolgerungen gekommen: Im Rahmen eines Arbeits- verhältnisses unterstehen die Vertragsparteien schon vor Vertragsabschluss einer aus dem Prinzip von Treu und Glauben fliessenden Informationspflicht. Der Arbeitgeber wird schon vor Vertragsabschluss alle Fragen stellen, die einen Arbeitsplatzbezug aufweisen, und zwar unter Berücksichtigung der Art des Betriebes und der Tätigkeit und Stellung des Bewerbers. Der Bewerber wird seinerseits sein Persönlichkeitsrecht geltend machen und Sachverhalte - etwa das linkshändige Arbeiten - aus seiner Privatsphäre schützen. Das Kriterium für die Abwägung der beidseitigen Interessen liegt im Arbeitsplatzbezug. Danach sind Fragen nur zulässig, soweit sie die Eignung des
66 Bewerbers für das Arbeitsverhältnis betreffen oder sonstige Sachverhalte, die für die Erfüllung des Arbeitsvertrages von Bedeutung sind. Inwieweit Fragen, die in die Privatsphäre des Bewerbers eindringen, einen Arbeitsplatzbezug aufweisen, hängt wesentlich von der Art des Arbeitsverhältnisses, der Stellung des Bewerbers und der Grösse und Zielsetzung des Unternehmens ab. Unzuläs- sige Fragen müssen nicht wahrheitsgemäss beantwortet werden (Notwehrrecht der Lüge). Eine Mitteilungspflicht des Bewerbers, nach der dieser von sich aus ungefragt bestimmte Sachverhalte mitteilen muss, besteht nur ausnahmsweise bei Einschränkungen der Arbeitsfähigkeit, mit denen der Arbeitgeber nicht rechnen muss und welche die Durchführung des Arbeitsvertrages praktisch verunmöglichen. In Zusammenhang mit dem Arbeitsplatzbezug der Angabe «links-» bzw. «rechtshändig» haben wir der betroffenen Person Folgendes mitgeteilt: Die Eignung eines Bewerbers für die Zeichnertätigkeit beurteilt sich aufgrund von Kriterien, die mit der Angabe «links- » bzw. «rechtshändig» in keinem Zusammenhang stehen. Die fragliche Angabe betrifft jedoch einen Sachverhalt, welcher für die Erfüllung des Arbeitsvertrages je nach konkreter Situation (finanzielle Lage oder Grösse einer Firma usw.) mehr oder weniger von Bedeutung sein kann. So ist es vorstellbar, dass durch die Anstellung eines Linkshänders eine zusätzliche Investition (etwa durch den Kauf einer Zeichen- maschine für Linkshänder) für die anstellende Firma verursacht wird, welche unter Berücksichtigung aller Umstände (insb. der finanziellen Situation oder der Grösse der Firma) als unverhältnismässig hoch erscheint. In solchen Fällen überwiegen bei der Interessenabwägung die finanziellen Interessen der Firma gegenüber dem Interesse des Bewerbers, bei dieser Firma angestellt zu werden. Die Frage, ob «links oder rechtshändig» ist in einem solchen Fall auch gerechtfertigt und darf bereits im Laufe des Bewerbungsverfahrens gestellt werden. Anders verhält es sich, wenn die Grösse der anstellenden Firma und ihre Kaufkraft den Kauf einer Zeichenmaschine für Linkshänder als zumutbar erscheinen lassen. In solchen Fällen ist die Frage, ob «links- oder rechtshändig» nicht oder nur aus rein organisatorischen Gründen (etwa für die Bestimmung der Arbeitsräumlichkeit des neuen linkshändigen Mitarbeiters) gerechtfertigt. Der Bewerber sollte jedoch im Rahmen des Bewerbungsverfahrens vom sogenannten Notwehrrecht der Lüge keinen Gebrauch machen, da ihm die Merkmale der anstellenden Firma (finanzielle Lage, Grösse) nicht von Vornherein bekannt sein dürften. Eine Mitteilungspflicht des Bewerbers in Zusammenhang mit der Angabe «links- oder rechtshändig» besteht jedoch nicht. Es ist vielmehr Aufgabe der Firma, die Anstellungsbedingungen bekannt- zugeben.
67 *HVDPWDUEHLWVYHUWUlJHXQG'DWHQVFKXW] /RKQEXFKNRQWUROOHQ ZLH VLH LQ *HVDPWDUEHLWVYHUWUlJHQ *$9 YRUJHVHKHQ VLQG EH]ZHFNHQGHQ6FKXW]GHU3HUV|QOLFKNHLWHLQHU9LHO]DKOYRQ$UEHLWQHKPHUQ%HLGHU 'XUFKIÅKUXQJYRQ/RKQEXFKNRQWUROOHQN|QQHQVLFKGLHEHWHLOLJWHQ$UEHLWJHEHUVRPLW QLFKW DXI GHQ 'DWHQVFKXW] VWÅW]HQ XP GLH +HUDXVJDEH GHU NRQWUROOUHOHYDQWHQ 8QWHUODJHQ]XYHUZHLJHUQ Das von den GAV-Vertragsparteien bestellte Kontrollorgan führt u. a. Lohn- buchkontrollen bei den am GAV beteiligten Unternehmen durch. Diesbezüglich tauchte die Frage nach der Zulässigkeit und der Zweck- und Verhältnis- mässigkeit der Einholung der Lohndaten auf. GAV sind privatrechtliche Verträge zwischen Arbeitgebern/Arbeitgeber- Verbänden einerseits und Arbeitnehmer-Verbänden andererseits. Zwecks Ein- haltung des GAV sind u. a. Lohnbuchkontrollen vorgesehen. Die Durchführung der Kontrollen wird durch ein vom GAV bestelltes Organ gewährleistet. Damit wird dieses Organ mit der entsprechenden Datenbearbeitung von den vertrags- schliessenden Parteien beauftragt. Die Kontrollfähigkeit der vertrags- schliessenden Firmen ist Voraussetzung für deren Vertragsfähigkeit. Unter Kontrollfähigkeit wird diejenige Buchführung verstanden, welche eine jederzeitige Überprüfung der Einhaltung der lohnwirksamen Gesamtarbeits- vertragsbestimmungen gestattet. Die zu kontrollierenden Firmen haben für die Durchführung der Kontrolle insb. folgende Unterlagen vorzulegen: Personal- verzeichnisse, Lohnabrechnungen, Arbeitsrapporte, Buchhaltung. Wir kamen zu folgenden Schlussfolgerungen : Zweck einer Lohnbuchkontrolle ist die Überwachung der Einhaltung der Lohnschutzbestimmungen durch die Vertragsparteien. Durch eine Lohnbuchkontrolle soll u. a. die Gewährleistung des Persönlichkeitschutzes der Arbeitnehmer überwacht werden. Die Persönlichkeitsschutzinteressen einer Mehrzahl von Arbeitnehmern überwiegen gegenüber denjenigen einer einzelnen Firma an der Geheimhaltung ihrer Lohn- bewirtschaftungsdaten. Durch das Vorliegen eines überwiegenden Interesses für die fragliche Datenbekanntgabe entfällt somit das Bedürfnis der Einholung der Einwilligung der Arbeitnehmer und deren Verankerung im GAV. Der vom GAV verlangte Unterlagenkatalog wird für eine wirksame Lohnbuchkontrolle benötigt und ist zweck- und verhältnismässig. Die Bekanntgabe hat sich jedoch auf Daten der Arbeitnehmer zu beschränken. Letztere sind über die Daten- bekanntgabe zu informieren. Die Bekanntgabe von Daten Dritter (Debitoren, Kreditoren, Kunden, usw.), wie dies bei der Offenlegung von Personal- buchhaltungen möglich sein dürfte, lässt sich jedoch nicht rechtfertigen.
68 'URJHQIUHLH.RQ]HSWHXQG'DWHQVFKXW] %HLGHU'XUFKVHW]XQJYRQGURJHQIUHLHQ.RQ]HSWHQGÅUIHQPLW$XVQDKPHGHU$QJDEH ©VÅFKWLJE]ZXQVÅFKWLJ™NHLQHZHLWHUHQ*HVXQGKHLWVGDWHQGXUFKGHQ$UEHLWJHEHU EHDUEHLWHWZHUGHQ)DOOVGHU$UEHLWJHEHU.RQWUROOHQ'URJHQVFUHHQLQJ8ULQSUREHQ EH]ÅJOLFKGHU(LQKDOWXQJGHV'URJHQNRQ]HSWHVGXUFK]XIÅKUHQJHGHQNWVRVLQGGLH EHWURIIHQHQ $UEHLWQHKPHU DXI GLH )UHLZLOOLJNHLW GHU .RQWUROOHQ DXVGUÅFNOLFK ]X LQIRUPLHUHQ Im Rahmen der Durchführung eines drogenfreien Konzeptes für Lehrlinge benutzte eine Firma ein Formular «Aerztliche Eignungsuntersuchung für Lehrlinge», welches Fragen zu den intimsten Bereichen des Privatlebens und der Gesundheit der Lehrlinge stellte. Das Konzept sah vor, dass der Lehrling durch Unterschreibung der entsprechenden Vollmacht sich der Durchführung stichprobenartiger Kontrollen (Tests, Urinproben) vor und während der Lehre hätte unterziehen sollen. Er hätte auch die untersuchenden Ärzte gegenüber der fraglichen Firma vom Arztgeheimnis entbinden sollen. Wir intervenierten bei der Firma und teilten ihr mit, dass der Arbeitgeber Daten über den Arbeitnehmer nur bearbeiten darf, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Diesem Grundsatz sei insbesondere dann eine erhöhte Achtung zu schenken, wenn die Personendaten – wie etwa die Gesundheits- daten - besonders schützenswert sind. Das uns zur Überprüfung unterbreitete Formular sowie die dazugehörende Vollmacht zur Aufhebung des Arzt- geheimnisses berücksichtigten die oben genannten Grundsätze in keiner Weise. Dies war umso stossend, als die fragliche Firma Lehrstellen vorwiegend in der mechanischen Branche bietet. Für die Durchführung solcher Arbeitsverhältnisse waren die gestellten Fragen in Zusammenhang mit der Gesundheit unnötig. Auch die entsprechende Vollmacht zur Aufhebung des Arztgeheimnisses stellte einen Eingriff in die Persönlichkeit des Lehrlings dar, da die Teilnahme am drogenfreien Konzept angesichts der heutigen Beschäftigungslage nicht freiwillig ist. Zulässig wäre einzig eine Gesundheitsabklärung durch den Vertrauensarzt der betroffenen Person, sofern sich diese Abklärung auf Krankheiten beschränkt, die für die Ausübung der konkret in Frage kommenden Lehrstelle von Bedeutung sind (bspw. Allergien). Der Arzt darf dem Arbeit- geber jedoch nur den Befund «geeignet, bzw. nicht geeignet» bekanntgeben. Weitergehende gesundheitliche Informationen zur Eignung für eine bestimmte Stelle unterliegen dem Arztgeheimnis und dürfen nur mit ausdrücklicher Einwilligung der betroffenen Person bekanntgegeben werden. In der Folge liess die fragliche Firma den Fragebogen datenschutzkonform gestalten. Die Vollmacht wurde insofern geändert, als die untersuchenden Ärzte nur noch den Befund ihrer Untersuchungen an die Firma hätten übermitteln
69 sollen. Dennoch verblieben Bedenken unsererseits bezüglich der Notwendigkeit der Vollmacht sowie der Eignungserklärung des Arztes. Wir teilten der Firma noch Folgendes mit: Die Einwilligung der betroffenen Personen zur Vornahme solcher Tests genügt nur dann, wenn diese frei und aufgeklärt ist. Wie die vorherige Vollmacht stellt auch die neu konzipierte Vollmacht keine freie Willenserklärung seitens der betroffenen Lehrlingen dar. Angesichts der heutigen Arbeitsmarktlage kann sich ein Lehrling nicht erlauben, auf eine Lehrlingsstelle zu verzichten. Obwohl ein Unternehmen grundsätzlich verpflichtet ist, Massnahmen zu treffen, um ihren Mitarbeitern und Lehrlingen die bestmöglichen Arbeitsbedingungen zu bieten, finden sich jedoch in der Gesetzgebung keine Anhaltspunkte dafür, dass der Arbeitgeber berechtigt ist, Massnahmen zur Bekämpfung des Drogenkonsums präventiv, d. h. vor der Feststellung von Auffälligkeiten (Verhaltensänderungen, Leistungseinbruch, Agressivität, offenes Drogenkonsum, usw.) zu ergreifen. Neben der Verletzung der Gesetzgebung stellt die neu konzipierte Vollmacht auch ein Misstrauens- zeichen gegenüber den Lehrlingen (v.a. derjenigen, die keine Drogen konsumieren) dar. Wir schlugen deshalb vor, das Konzept einer drogenfreien Lehre folgender- massen durchzusetzen: Der Arbeitgeber kann arbeitsrechtliche Massnahmen wie Diskussionen mit dem betroffenen Lehrling vornehmen, Bedingungen für die Weiterbildung stellen, falls nötig Beratungsstellen beiziehen, im schlimmsten Fall Kündigungen aussprechen. Falls der Arbeitgeber gedenkt, die Einhaltung des Drogenkonzeptes mittels Drogenscreening oder Urinproben zu kontrollieren, so sind die betroffenen Personen auf die Freiwilligkeit solcher Tests ausdrücklich zu informieren. Der süchtige oder suchtgefährdete Lehrling ist dabei in seiner Persönlichkeit zu schützen, indem die Feststellungen in Zusammenhang mit dem Drogenkonsum und die ergriffenen Massnahmen weder innerhalb noch ausserhalb des Betriebes publik gemacht werden dürfen (sofern die Interessen der anderen Mitarbeiter, etwa ihre Gesundheit, oder andere überwiegende Interessen dies nicht erforderlich machen). Die Firma hat insbesondere gegenüber Dritten die berufliche Schweigepflicht streng anzuwenden. Die vom Arbeitgeber bearbeiteten Personendaten ihrer Arbeit- nehmer dürfen nur mit ihrer ausdrücklichen Einwilligung an Dritte bekannt- gegeben werden. Dies gilt um so mehr, wenn besonders schützenswerte Gesundheitsdaten in Frage stehen. Die Bekanntgabe von Daten in Zusam- menhang mit Drogenabhängigkeit kann für die Wiedereingliederung der betroffenen Person in der Arbeitswelt gravierende Folgen haben. Sollte die betroffene Person aufgrund einer solchen nicht bewilligten Datenbekanntgabe einen wirtschaftlichen Schaden erleiden (indem sie bspw. keine neue Anstellung mehr findet), stehen ihr arbeits-, persönlichkeits- und schadenersatz- rechtliche Ansprüche zu. Gegenüber dem potentiellen neuen Arbeitgeber ist der aktuelle Arbeitgeber nur dann auskunftspflichtig, sofern die Angaben über die Drogenabhängigkeit eines Mitarbeiters für die Besetzung der Stelle unbedingt
70 erforderlich sind. In diesen Fällen sollte die betroffene Person vorgängig informiert werden. Der Arbeitgeber ist auch nicht berechtigt, von sich aus und ohne Einwilligung des betroffenen Lehrlings der für die Betreuung zuständigen Behörde oder einer zugelassenen Behandlungs- oder Fürsorgestelle in Anspruch zu nehmen. In Fällen, wo der Arbeitgeber alleine nicht mehr weiterkommen kann, sollte der betroffene Lehrling über das Bestehen von Fachstellen informiert werden. Der Arbeitgeber ist berechtigt, die Eltern zu informieren, sofern überwiegende Interessen des Lehrlings nicht dagegen sprechen. Die Strafverfolgung in Zusammenhang mit dem Betäubungsmittelmissbrauch ist Sache der zuständigen Behörde. Der Arbeitgeber hat keine Anzeigepflicht. Das Verhalten der Mit- arbeiter und Lehrlinge darf nicht systematisch überwacht werden. Die Lehrmeister dürfen den Lehrling deshalb nicht aktiv nach einem möglichen Drogenkonsum überwachen. Das Unternehmen sicherte uns zu, dass die datenschutzrechtlichen Anliegen berücksichtigt würden, liess das Formular «Ärztliche Eignungsuntersuchung für Lehrlinge» durch ein datenschutzkonformes Formular ersetzen und erliess ein Informationsschreiben über die Freiwilligkeit der Tests zuhanden der betroffenen Personen und ihrer Eltern. 9HUVLFKHUXQJVZHVHQ 6R]LDOYHUVLFKHUXQJHQ $QSDVVXQJGHU6R]LDOYHUVLFKHUXQJVJHVHW]JHEXQJDQGDV 'DWHQVFKXW]JHVHW] 1DFK'DWHQVFKXW]JHVHW] GÅUIHQ 'DWHQVDPPOXQJHQ PLW EHVRQGHUV VFKÅW]HQVZHUWHQ 'DWHQRGHU3HUV|QOLFKNHLWVSURILOHQQXUGDQQEHDUEHLWHWZHUGHQZHQQHLQIRUPHOOHV HVHW]GLHVDXVGUÅFNOLFKHUODXEW%LV]XP'H]HPEHUPÅVVHQGLHQ|WLJHQ JHVHW]OLFKHQUXQGODJHQGDIÅUJHVFKDIIHQVHLQ,QVEHVRQGHUHLP6R]LDOYHUVLFKHUXQJV EHUHLFKEHVWHKWGLHVEH]ÅJOLFKQRFKHLQJURVVHU1DFKKROEHGDUI Das Datenschutzgesetz verlangt, dass spätestens 5 Jahre nach seinem Inkrafttreten Datensammlungen mit besonders schützenswerten Personendaten oder Persönlichkeitsprofilen nur dann bearbeitet werden dürfen, wenn dies eine formellgesetzliche Grundlage vorsieht. Diese Frist lief am 1. Juli 1998 ab.
71 In vielen Bereichen war jedoch vorauszusehen, dass die Frist nicht eingehalten werden konnte. Dies gilt insbesondere für die Sozialversicherungs-gesetz- gebung. Der Direktor des Bundesamtes für Sozialversicherung (BSV) beantragte deshalb bei der Kommission für Rechtsfragen des Ständerates, die Übergangsfrist bis zum 31. Dezember 2000 zu verlängern. Auch der Bundesrat bat die Kommission, die Frist nicht wie vorgesehen bis zum 30. Juni 1999, sondern bis Ende 2000 zu erstrecken. Im Weiteren verlangte der Bundesrat von den Ämtern ein Inventar sowie einen Umsetzungsplan für die nötigen gesetz- geberischen Arbeiten (vgl. auch 5. Tätigkeitsbericht S. 82/83). Die Verlängerung bis Ende 2000 wurde schliesslich mit Bundesbeschluss vom 26. Juni 1998 in Kraft gesetzt. Unterdessen unterbreitete das BSV dem Eidgenössischen Datenschutz- beauftragten (EDSB) mehrere Vorprojekte. Der EDSB hat diesbezüglich auf die folgenden Punkte hingewiesen: Der Zweck der Datenbearbeitung ist so weit als möglich im Gesetz klar zu umschreiben. Die Datenweitergabe (Ausnahmen von der Schweigepflicht) bedarf für den gesamten Sozialversicherungsbereich einer formellgesetzlichen Grundlage. Dies gilt erst recht, wenn Sozialversicherungs- daten zu einem anderen Zweck an Dritte weitergegeben sollen. So hat etwa die Weitergabe von AHV-Daten an Steuerbehörden bereits heute schon eine Grundlage im AHV-Gesetz. Schliesslich ist näher abzuklären, ob allenfalls Datensammlungen im Abrufverfahren zur Verfügung gestellt werden. Werden besonders schützenswerte Personendaten oder Persönlichkeitsprofile durch ein Abrufverfahren zugänglich gemacht, ist dies ebenfalls in einem Gesetz im formellen Sinn zu regeln. Im AHV-Bereich z. B. ist insbesondere zu prüfen, ob die Zentrale Ausgleichsstelle allenfalls Personendaten im Abrufverfahren zur Verfügung stellt. Das BSV ist zur Zeit daran, einen Gesetzesentwurf in unserem Sinne zu schaffen. ©9HUJHVVHQH™3HQVLRQVNDVVHQJXWKDEHQ %HLHLQLJHQ3HQVLRQVNDVVHQEHILQGHQVLFK*XWKDEHQGLHELVKHXWHGHQ%HUHFKWLJWHQQRFK QLFKWDXVEH]DKOWZXUGHQ'DV%XQGHVDPWIÅU6R]LDOYHUVLFKHUXQJ%69EHDEVLFKWLJW GHVKDOEHLQH=HQWUDOVWHOOH6lXOH]XVFKDIIHQ0LWGLHVHU0HOGHVWHOOHVROOHQGLH$GUHV VHQ GHU $QVSUXFKVEHUHFKWLJWHQ DXVILQGLJ JHPDFKW ZHUGHQ 'HU (LGJHQ|VVLVFKH 'DWHQVFKXW]EHDXIWUDJWH('6%KDWVLFK]XP3URMHNWJUXQGVlW]OLFKSRVLWLYJHlXVVHUW Laut Pressemitteilungen liegen mindestens 420 Millionen Franken vergessener Guthaben der Zweiten Säule auf rund 70'000 Konten in der Schweiz. Dabei soll es sich vor allem um Konten von ehemaligen Saisonniers und Jahre-
72 saufenthaltern handeln, die in den 70er und 80er Jahren in der Schweiz beschäftigt waren. Dieser Umstand führte u. a. zu diversen politischen und diplomatischen Vorstössen. Der Bundesrat ist der Ansicht, dass der Schweiz und den Pensionskassen eine Fürsorgepflicht gegenüber den Versicherten zukommt. Aus diesem Grunde hat er eine Änderung des Freizügigkeitsgesetzes vorgeschlagen. U. a. sollen Vorsorgeeinrichtungen verpflichtet werden, vergessene Pensionskassen- guthaben der neu zu schaffenden Zentralstelle 2. Säule zu melden. Diese soll mit der Zentralen Ausgleichskasse über das Rentenregister der AHV die Adressen der Berechtigten herausfinden. Auf der anderen Seite sind auch die Versicherten selbst gehalten, der Zentralstelle die nötigen Informationen zu geben, damit diese ihre Nachforschungen machen kann. Im Rahmen der Ämterkonsultation haben wir uns zum Projekt grundsätzlich positiv geäussert. Insbesondere wird dem Grundsatz der Verhältnismässigkeit die nötige Beachtung geschenkt. Schliesslich haben wir auch darauf hingewiesen, dass die vorliegende Problematik im Interesse der Anspruchs- berechtigten so schnell wie möglich einer Lösung zugeführt werden muss. ,OOHJDOH 5LVLNRVHOHNWLRQ LP %HUHLFK GHU 2EOLJDWRULVFKHQ .UDQNHQSIOHJHYHUVLFKHUXQJ $XIQDKPHSUDNWLNHQ ZHOFKH GLH 5LVLNRVHOHNWLRQ LQ GHU REOLJDWRULVFKHQ UXQG YHUVLFKHUXQJ]XP=LHOKDEHQYHUVWRVVHQJHJHQGDV.UDQNHQYHUVLFKHUXQJVXQGGDV 'DWHQVFKXW]JHVHW]6RODQJHGLH.UDQNHQYHUVLFKHUHUZHLWHUKLQ]X'DWHQZLH$OWHUXQG HVXQGKHLWJHODQJHQEOHLEWGLH0LVVEUDXFKVJHIDKUMHGRFKEHVWHKHQ'HU(LGJHQ|VVLVFKH 'DWHQVFKXW]EHDXIWUDJWH KDW VLFK GHVKDOE IÅU YHUVFKLHGHQH $QWUDJVIRUPXODUH DXVJHVSURFKHQHLQHVIÅUGLHUXQGYHUVLFKHUXQJRKQH)UDJHQ]XUHVXQGKHLWXQG HLQHVIÅUGLHMHZHLOLJH=XVDW]YHUVLFKHUXQJ Verlangt ein Krankenversicherer im Aufnahmeverfahren Gesundheitsangaben für die obligatorische Krankenversicherung, ist dies mit Sinn und Geist des Bundesgesetzes über die Krankenversicherung (KVG) nicht vereinbar. Das KVG sieht u. a. das Versicherungsobligatorium sowie die freie Kassenwahl vor. Bekanntlich ist jede Krankenkasse verpflichtet, einen Antragsteller - unabhängig von seinem Gesundheitszustand - für die obligatorische Kranken- versicherung aufzunehmen. Auch dürfen Änderungen hinsichtlich der Franchise nicht vom Gesundheitszustand abhängig gemacht werden (vgl. auch Kreis- schreiben 97/9 des Bundesamtes für Sozialversicherung vom 12. November 1997).
73 Werden Fragen zum Gesundheitszustand bei einem Versicherungswechsel gestellt, verletzt dies auch die datenschutzrechtlichen Bestimmungen, soweit sie die Grundversicherung betreffen. Aufgrund des Versicherungsobligatoriums ist es weder erforderlich noch geeignet, Gesundheitsangaben zu verlangen (Verstoss gegen das Verhältnismässigkeitsprinzip nach Art. 4 Abs. 2 des Bundesgesetzes über den Datenschutz). Zudem fehlt eine formellgesetzliche Grundlage, welche es den Krankenkassen im Aufnahmeverfahren erlauben würde, Gesundheitsdaten in der obligatorischen Krankenversicherung zu verlangen. Für die Aufnahme in die Zusatzversicherung hingegen können Gesundheits- fragen beantwortet werden. Die Krankenkassen dürfen im Zusatzversicherungs- bereich jedoch nur die tatsächlich erforderlichen und geeigneten Gesundheits- angaben verlangen. Eine Untersuchung des EDSB bei den Krankenversicherern ergab folgendes Resultat: Auf den meisten Antragsformularen fehlt ein klarer Hinweis, dass bei einem Wechsel innerhalb der Grundversicherung keine Gesundheitsdaten erhoben werden dürfen. Tatsächlich kommt es vor, dass Aufnahmebegehren von älteren und kranken Versicherten von einigen Krankenkassen gar nicht oder nur schleppend behandelt worden sind. Damit solche Missbräuche (mindestens z.T.) verhindert werden können, haben wir von den Krankenkassen getrennte Antrags-Formulare verlangt: eines für die Grundversicherung (ohne Fragen zur Gesundheit) und je eines für die jeweilige Zusatzversicherung (mit den nötigen Gesundheitsdaten). Im weiteren verstösst es auch gegen das Datenschutzgesetz, wenn Versicherungsmakler im Grundversicherungsbereich vor allem junge und gesunde Mitglieder anwerben. 3UR]HVVDQDO\VHLP6R]LDOYHUVLFKHUXQJVEHUHLFK (V LVW IHVW]XVWHOOHQ GDVV GLH 2UJDQLVDWLRQ VRZLH GLH LQWHUQHQ $EOlXIH LP 6R]LDOYHUVLFKHUXQJVEHUHLFKPLWGHQUXQGVlW]HQGHV'6QLFKWYHUHLQEDUVLQG$XV GLHVHP*UXQGHEHDEVLFKWLJHQZLUGLHHLQ]HOQHQ%HWULHEVDEOlXIHLQGHQYHUVFKLHGHQHQ 6R]LDOYHUVLFKHUXQJVEHK|UGHQ JHQDXHU ]X DQDO\VLHUHQ 0|JOLFKH V\VWHPEHGLQJWH 'DWHQVFKXW]YHUOHW]XQJHQN|QQHQVRHLQIDFKEHVHLWLJWZHUGHQ In der Praxis werden wir in der Regel mit einzelnen Sachverhalten konfrontiert. Wird eine Datenschutzverletzung festgestellt, so ist dies oft mit falschen internen Abläufen in der Organisation zu erklären. So kommt es vor, dass einerseits Daten an Dritte weitergeleitet werden, obwohl dies von Gesetzes
74 wegen überhaupt nicht zulässig ist. Andererseits werden regelmässig zu viele Personendaten ausgetauscht (Verstoss gegen das Verhältnismässigkeitsprinzip). So ist es etwa vorgekommen, dass eine Ausgleichskasse Personendaten an eine private Versicherungsgesellschaft weitergegeben hat. Die Ausgleichskasse ging fälschlicherweise davon aus, dass es sich bei der erwähnten Versicherungs- gesellschaft um einen zugelassenen Krankenversicherer handelte, welcher in casu bereits Vorleistungen erbracht hat. Da die Versicherungsgesellschaft jedoch keine anerkannte Krankenkasse ist, ist sie auch nicht berechtigt, allfällige Leistungen zurückzufordern. Die Ausgleichskasse leitete also wider- rechtlich Personendaten aus dem geschützten Sozialversicherungsbereich an Dritte weiter. In einem anderen Fall ist es ebenfalls um gegenseitige Leistungsansprüche zwischen einer IV-Stelle und einer BVG-Vorsorgeeinrichtung gegangen. Dabei soll die IV-Stelle unnötigerweise das gesamte Dossier an die BVG-Vorsorge- einrichtung weitergeleitet haben. Pikant daran ist, dass die BVG-Einrichtung auch noch eine Anzahl von Privatversicherungen anbietet. Im Unfallversicherungsbereich ist festzustellen, dass die Auskunft überhaupt nicht oder ungenügend erteilt wird. Dies ist oft auch auf eine ungenügende Organisation zurückzuführen. Dies sind nur einige Beispiele, welche durch eine Prozessanalyse behoben werden könnten. Unseres Erachtens macht es daher Sinn, die verschiedenen Abläufe von Grund auf und systematisch zu untersuchen. Dies ist jedoch mit einem erheblichen zeitlichen Mehraufwand verbunden. Für 1999 ist geplant, zuerst eine Prozessanalyse bei einem Regionalen Arbeitsvermittlungszentrum und dann bei einer IV-Stelle vorzunehmen. ([SHUWHQNRPPLVVLRQIÅUGHQ3HUV|QOLFKNHLWVVFKXW]LQGHUVR]LDOHQ XQGSULYDWHQ.UDQNHQXQG8QIDOOYHUVLFKHUXQJ $P )HEUXDU ULHI GHU %XQGHVUDW GLH ([SHUWHQNRPPLVVLRQ IÅU GHQ 3HUV|QOLFKNHLWVVFKXW]LQGHUVR]LDOHQXQGSULYDWHQ.UDQNHQXQG8QIDOOYHUVLFKHUXQJLQV /HEHQ'LH$UEHLWHQGHU.RPPLVVLRQVLQGQRFKLP*DQJH Die Expertenkommission soll u. a. die Arbeit der Arbeitsgruppe «Datenschutz und Analysenliste / Krankenversicherung» (ADAK I, in Beiträge zur Sozialen Sicherheit, Nummer 2/96, zu beziehen beim BSV) im Wesentlichen weiter- führen. Die Kommission setzt sich aus Vertretern von verschiedenen Behörden und Interessenverbänden zusammen, welche mindestens im Kranken- und Unfallversicherungsbereich eine Rolle spielen. Der EDSB ist ebenfalls darin vertreten.
75 Die Expertenkommission setzt sich insbesondere mit dem Persönlichkeitsschutz in der sozialen und privaten Kranken- und Unfallversicherung auseinander. Die Persönlichkeitsrechte der Betroffenen stehen jedoch in einem Spannungs- verhältnis zu den Informationsbedürfnissen der Versicherer einerseits und zur Gesundheitspolitik andererseits. Die Kommission befasst sich u. a. mit den folgenden Themenbereichen: Wie soll der Datenfluss zwischen Leistungs- erbringern und Krankenversicherern aussehen (ICD 10-Code etc.)? Inwiefern soll das Institut des Vertrauensarztes im KVG-Bereich beibehalten bzw. geändert werden? Ist es sinnvoll, auch im Unfallversicherungsbereich ein analoges Institut zu schaffen, wie dies der EDSB und die Literatur schon seit Jahren fordern? Weiter ist abzuklären, ob und unter welchen Voraussetzungen Personendaten aus dem obligatorischen Grundversicherungsbereich in den Zusatzversicherungsbereich gelangen dürfen. Schliesslich ist die sehr delikate Frage zu prüfen, ob und wenn ja welche Versicherungsdaten der Arbeitgeber einsehen darf. Dies betrifft vor allem die BVG-Versicherung sowie die Krankentaggeldversicherung, welche die neu eintretenden Arbeitnehmer abschliessen. Dabei kommt es oft vor, dass der Arbeitgeber unberechtigterweise Einblick in sensibelste Gesundheitsdaten des Arbeitnehmers erhält. Dies kann sehr negative Konsequenzen für den Arbeit- nehmer haben. Dies sind nur einige Fragen, welche die Kommission zu behandeln hat. Die Arbeiten der Redaktion sind noch im Gange. 'LH3UD[LVGHU$XVNXQIWVHUWHLOXQJLP0LOLWlUYHUVLFKHUXQJVEHUHLFK 'LH 3UD[LV GHU $XVNXQIWVHUWHLOXQJ LP 0LOLWlUYHUVLFKHUXQJVEHUHLFK LVW PLW GHP 'DWHQVFKXW]JHVHW]QLFKWYHUHLQEDU,QVEHVRQGHUHLVWHVSUREOHPDWLVFKZHQQGLH$NWHQ EHL GHU MHZHLOLJHQ *HPHLQGHEHK|UGH ]XU (LQVLFKW DXIOLHJHQ ,P :HLWHUHQ LVW HV XQ]XOlVVLJZHQQGDV%XQGHVDPWIÅU0LOLWlUYHUVLFKHUXQJPHKUDOV)UIÅU.RSLHQ YHUODQJW Mehrmals wurden wir von privater Seite auf die Praxis der Auskunftserteilung des Bundesamtes für Militärversicherung (BAMV) aufmerksam gemacht. Das BAMV stützt sich dabei auf die Bestimmungen des Verwaltungs- verfahrensgesetzes (VwVG) ab. Das VwVG sieht vor, dass die Akten am Sitz der verfügenden oder einer durch diese zu bezeichnenden kantonalen Behörde eingesehen werden können. In der Regel werden die Akten bei der zuständigen Gemeindeverwaltung zur Einsicht aufgelegt. Will jemand seine Akten in Form von Kopien, verlangt das BAMV zudem Fr. -.50 pro Kopie.
76 Soweit das vorliegende Verfahren gegen das Datenschutzgesetz (DSG) verstösst, darf es nicht angewendet werden. Denn das jüngere DSG geht grundsätzlich älteren Erlassen vor. Dies gilt auch dann, wenn der ältere formell nicht aufgehoben oder abgeändert wird. Die Auskunft nach DSG hat in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erfolgen. Ausnahmen von der Kostenlosigkeit sind u. a. dann möglich, wenn die Auskunftserteilung mit einem besonders grossen Arbeitsaufwand verbunden ist. Ein besonders grosser Arbeitsaufwand kann nicht geltend gemacht werden, wenn die interne Organisation und Verwaltung mangelhaft sind. Die Kosten dürfen Fr. 300.- nicht überschreiten. Im Gegensatz zur Praxis des BAMV hat die Auskunft grundsätzlich schriftlich zu erfolgen. Auf keinen Fall ist es mit dem Datenschutzgesetz vereinbar, dass die Akten auf einer Gemeindebehörde zur Einsicht aufliegen. Einerseits ist es weder geeignet noch erforderlich, wenn Angestellte von Gemeindebehörden ebenfalls Zugriff zu den sensiblen Militärversicherungsdaten haben (Verstoss gegen das Verhältnismässigkeitsprinzip). Andererseits wäre dafür eine formell- gesetzliche Grundlage nötig (Weitergabe von besonders schützenswerten Personendaten durch das BAMV an eine andere Behörde). Hingegen ist - aber nur im Einvernehmen mit der betroffenen Person – die Akteneinsicht an Ort und Stelle möglich. Genauso verstösst es gegen das DSG, wenn das Bundesamt für Militär- versicherung generell Fr. -.50 pro Kopie verlangt. Bei grossen Dossiers ist es auch schon vorgekommen, dass das BAMV von den betroffenen Personen mehr als Fr. 300.- verlangt hat. Wir haben schliesslich das BAMV auf die vorliegende Problematik hingewiesen und gebeten, das Auskunftsrecht im Sinne des DSG zu gewähren. )lOOHDXVGHP$+9,9%HUHLFK 1DFKZHLVHLQHVHVXQGKHLWVVFKDGHQVLQ6XFKWLQVWLWXWLRQHQ 6XFKWLQVWLWXWLRQHQHUKDOWHQXQWHUJHZLVVHQ9RUDXVVHW]XQJHQ,96XEYHQWLRQHQYRP %XQGHVDPWIÅU6R]LDOYHUVLFKHUXQJ%69'DV%69EHQ|WLJWGDIÅUXDVHKUVHQVLEOH 3HUVRQHQGDWHQ'LH%HVFKDIIXQJYRQ3HUVRQHQGDWHQLVWDEHUQXU]XOlVVLJZHQQGLH Q|WLJHQJHVHW]OLFKHQUXQGODJHQJHJHEHQVLQG=XGHPPÅVVHQGLHEHWURIIHQHQ3HUVRQHQ ÅEHUGLH'DWHQEHVFKDIIXQJKLQUHLFKHQGLQIRUPLHUWVHLQ Der EDSB wurde von mehreren Suchtinstitutionen (bzw. Wohnheimen) angefragt, ob die Subventionspraxis des BSV datenschutzkonform sei. Will eine Suchtinstitution in den Genuss von IV-Subventionen kommen, sind gewisse
77 Anforderungen zu erfüllen. U. a. prüft das BSV, ob bei den Heimbewohnern ein IV-relevanter Gesundheitsschaden vorliegt. Dazu benötigt das BSV Gesundheitsdaten von den betroffenen Personen. Vorliegend beschafft das BSV besonders schützenswerte Personendaten (Gesundheitsdaten). Dies verlangt grundsätzlich eine gesetzliche Grundlage im formellen Sinn. Unseres Wissens stützt das BSV seine Subventionspraxis vor allem auf die Rechtsprechung des Eidgenössischen Versicherungsgerichts sowie auf interne Weisungen ab. Wir haben das BSV darauf aufmerksam gemacht, dass unseres Erachtens die gesetzlichen Grundlagen ungenügend sind. Im weiteren hat jede Daten- beschaffung transparent zu erfolgen. Werden zudem Daten systematisch erhoben, hat das BSV den Zweck, die Rechtsgrundlage des Bearbeitens, die Kategorien der an der Datensammlung Beteiligten und der Datenempfänger bekanntzugeben. Mit dem BSV wurde vereinbart, den betroffenen Personen ein Merkblatt abzugeben, welches diese hinreichend über die Datenbearbeitung informiert. Schliesslich wiesen wir das BSV darauf hin, dass der Fragebogen auf ein Minimum zu beschränken ist. (LQIÅKUXQJHLQHVlU]WOLFKHQ'LHQVWHVLP,9%HUHLFK 'HU('6%KDWJHJHQGLH(LQIÅKUXQJHLQHVlU]WOLFKHQ'LHQVWHVLP,9%HUHLFKJUXQG VlW]OLFKQLFKWVHLQ]XZHQGHQ9RUDXVVHW]XQJLVWDEHUGDVVGHUlU]WOLFKH'LHQVWJHJHQÅEHU DQGHUHQ%HK|UGHQXQDEKlQJLJLVW,P:HLWHUHQPXVVGHPlU]WOLFKHQ'LHQVWHLQH ©)LOWHUIXQNWLRQ™]XNRPPHQ0LWDQGHUHQ:RUWHQ'HUlU]WOLFKH'LHQVWGDUIQXUGLH WDWVlFKOLFKHUIRUGHUOLFKHQ3HUVRQHQGDWHQDQ'ULWWHZLH,96WHOOHQZHLWHUJHEHQ Im Rahmen der Revision des Invalidenversicherungsgesetzes (IVG)ist u. a. vorgesehen, dass ein ärztlicher Dienst eingeführt werden soll. Der neue Art. 53 Abs. 2 IVG soll wie folgt lauten: «Der Bundesrat regelt die Organisation und die Aufgaben des ärztlichen Dienstes sowie die Befugnisse des Bundesamtes für Sozialversicherung.» Im Rahmen der Ämterkonsultation zur Verordnung über die Invaliden- versicherung (IVV) wurden uns die Verordnungsbestimmungen zum ärztlichen Dienst zwar noch nicht unterbreitet. Dennoch haben wir die Gelegenheit wahr- genommen, einige grundsätzliche Bemerkungen zum Institut des ärztlichen Dienstes im IV-Bereich abzugeben. Der in Art. 53 Abs. 2 IVG vorgesehene Text ist ungenügend, soweit der ärztliche Dienst Personendaten bearbeitet. Unseres Erachtens hätten im IVG mindestens der Zweck, die Organisation sowie die Aufgaben des ärztlichen Dienstes genau definiert werden müssen. Denn der ärztliche Dienst bearbeitet besonders schützenswerte Personendaten (Gesundheitsdaten). Dies verlangt grundsätzlich eine klare und umfassende Regelung in einem formellen Gesetz.
78 Aus unserer Sicht auch wichtig ist, dass der ärztliche Dienst im IV-Bereich die Funktion eines «unabhängigen Filters» wahrnimmt. Das Verhältnismässigkeitsprinzip besagt, dass nur diejenigen Personendaten bearbeitet werden dürfen, welche für den jeweiligen Zweck geeignet und erforderlich sind. Der ärztliche Dienst hat also die Informationen zu filtern bzw. darf nur diejenigen Daten an die IV-Stelle weiterleiten, welche für den jeweiligen Fall notwendig sind. Die Unabhängigkeit des ärztlichen Dienstes ist ein Element, damit die Persönlichkeitsrechte der Versicherten soweit als möglich gewahrt werden. Demnach wäre es sinnvoll, wenn der ärztliche Dienst in räumlicher, organisatorischer und personeller Hinsicht von den übrigen Behörden getrennt wäre. Insbesondere ist zu vermeiden, dass die Angestellten des ärztlichen Dienstes in einem Abhängigkeitsverhältnis zur Entscheidbehörde stehen. Schliesslich haben wir auch vorgeschlagen, dass der ärztliche Dienst durch eine neutrale und unabhängige Stelle beaufsichtigt wird. Dadurch würde die Gefahr verringert, dass der einzige Zweck des ärztlichen Dienstes darin liegt, nur Kosten zu sparen. Gegen die Revision des Invalidenversicherungsgesetzes wurde erfolgreich das Referendum ergriffen. Zum jetzigen Zeitpunkt ist es also noch unklar, ob der ärztliche Dienst im IV-Bereich eingeführt wird. =ZHL9HUVLFKHUWHQQXPPHUQDXIHLQHP$+99HUVLFKHUXQJVDXVZHLV %HVLW]W MHPDQG ]ZHL YHUVFKLHGHQH $+91XPPHUQ VR NDQQ GLHV LP $OOWDJ ]X 'LVNULPLQLHUXQJHQIÅKUHQ'LHVJLOWLQVEHVRQGHUHGDQQZHQQDXIGHP$+9$XVZHLV GLH©PlQQOLFKH™XQGGLH©ZHLEOLFKH™9HUVLFKHUWHQQXPPHUHUVLFKWOLFKVLQG Eine betroffene Person gelangte mit folgendem Problem an uns: Sie unterzog sich vor einigen Jahren einer Geschlechtsumwandlung und hat ihren ehemals männlichen Körper ihrem seelichen weiblichen Geschlecht angepasst. Dies hatte zur Folge, dass sich seitdem zwei Versichertennummern auf dem AHV- Ausweis befinden. Es handelt sich um die «männliche» und um die «weibliche» Versichertennummer. Die nun als Frau lebende Person verlangte daher von der zuständigen Ausgleichskasse einen AHV-Ausweis mit einer (der «weiblichen») Versichertennummer. Insbesondere wies sie darauf hin, dass der bisherige AHV-Ausweis im Alltag zu Diskriminierungen führe. So habe sie sich für eine neue Stelle beworben und sei gezwungen, dem zukünftigen Personalchef einen AHV-Ausweis mit zwei verschiedenen Versichertennummern vorzulegen. Sie fühle sich dadurch in ihrer Persönlichkeit und Menschenwürde verletzt.
79 Trotz den berechtigten Bedenken waren die zuständigen AHV-Behörden nicht bereit, auf ihre Anliegen einzugehen. Nach Ansicht der Behörden sei dies aus administrativen Gründen nicht anders möglich. Insbesondere müssten sämtliche Einzahlungen nachvollziehbar sein. Der EDSB bat schliesslich das Bundesamt für Sozialversicherung (BSV) um Hilfe. Das BSV entsprach den Wünschen der Frau und stellte ihr einen neuen Versicherungsausweis mit der «weiblichen» AHV-Nummer aus. Die Verkettung mit der früheren «männlichen» Versichertennummer wurde beim BSV intern sichergestellt. 'DV©$+96SLHJHOUHJLVWHU™ %HNDQQWOLFKVROOGDV©$+96SLHJHOUHJLVWHU™HLQJHIÅKUWZHUGHQ'DV%XQGHVDPWIÅU 6R]LDOYHUVLFKHUXQJ %69 KDW VLFK XQWHUGHVVHQ EHUHLW HUNOlUW GLH JHVHW]OLFKHQ *UXQGODJHQLQXQVHUHP6LQQH]XVFKDIIHQ3DUODPHQWDULVFKH9RUVW|VVHKDEHQMHGRFK GDV3URMHNWYHU]|JHUW Das «AHV-Spiegelregister» hat zum Ziel, die Anfragen der Bürger über ihre einbezahlten AHV-Beiträge schneller zu behandeln. Mit dem «Spiegelregister» sollen die einzelnen Ausgleichskassen lediglich einen rascheren Zugriff auf die Individuellen Konten (IK) erlauben als bisher. Der EDSB hat sich zum Projekt grundsätzlich positiv geäussert. Voraussetzung: Der Datenschutz und insbesondere die Datensicherheit - v.a. die Zugriffs- kontrolle und die Protokollierung - müssen garantiert sein (vgl. 5. Tätigkeits- bericht 1997/1998 S. 50/51). Die Beiträge der Versicherten werden in den Individuellen Konten festgehalten. Die IK enthalten u. a. die folgenden Daten: Name, AHV-Nr., Geburtsdatum, Heimatstaat, Abrechnungsnummer, Einkommenscode, Beitragsmonate (Beginn/Ende), Beitragsjahr, Einkommen, Arbeitgeber oder Einkommensart. Die Angaben in den IK sind unseres Erachtens geeignet, Persönlichkeitsprofile im Sinne des DSG wiederzugeben. Immerhin lassen sich aus den IK ein ganzes Erwerbsleben, aber auch Phasen der Arbeitslosigkeit herauslesen. Allein Informationen über die Einkommensverhältnisse sind in unserem Kulturkreis als heikel zu betrachten. Auf den ersten Blick mögen die IK keine besonders schützenswerten Personen- daten enthalten. Dennoch ist dies nicht überall der Fall. Beispiel : Bei israelischen Staatsbürgern, die AHV einzahlen, ist es wahrscheinlich, dass sie jüdischen Glaubens sind. Kommen solche Daten in falsche Hände, könnte dies auch heute noch schlimme Konsequenzen haben. Aufgrund der Sensibilität der Personendaten verlangen wir für das «AHV- Spiegelregister» daher eine gesetzliche Grundlage im formellen Sinn. Insbesondere gilt dies, wenn die Personendaten durch ein Abrufverfahren
80 zugänglich gemacht werden sollen. Aufgrund der grossen Dimension des «AHV-Spiegelregisters» ist ebenfalls ein formelles Gesetz nötig. Eine solche Datensammlung weckt zudem den «Datenhunger» bzw. das Interesse von verschiedenen andere Stellen. Das BSV hat sich schliesslich unserer Argumentation angeschlossen und sich bereit erklärt, die nötigen gesetzlichen Grundlagen vorzubereiten. Das «AHV-Spiegelregister» ist auch Anlass von politischen Vorstössen. Im Jahre 1997 reichte Nationalrat Hans Rudolf Gysin eine Interpellation sowie eine Motion ein. Die Motion vom 10. Oktober 1997 verlangte vom Bundesrat, das «Spiegelregister» auf Gesetzesstufe zu verbieten. Begründet wurde dies vor allem damit, dass der Datenschutz nicht mehr gewährleistet sei. Das BSV hat deshalb seine Arbeiten sistiert und wartet ab, wie das Parlament in vorliegender Sache entscheiden wird. 6SOLWWLQJXQG6FKHLGXQJ$+9.RQWHQÅEHUVLFKW (LQH $XVJOHLFKVNDVVH KDW HLQHU )UDX GLH $+9(LQ]DKOXQJHQ LKUHV JHVFKLHGHQHQ (KHPDQQHV ]XJHVWHOOW 'DV 'DWHQVFKXW]JHVHW] ZLUG MHGRFK YHUOHW]W ZHQQ GLH (LQ]DKOXQJHQDXFKGHQ=HLWUDXPQDFKGHU6FKHLGXQJEHWUHIIHQ Eine Bürgerin beklagte sich bei uns, weil ihr eine Ausgleichskasse die AHV- Kontenübersicht ihres geschiedenen Mannes zugestellt haben soll, die den Zeitraum während der Ehe und nach der Ehe betreffen. Ihrer Meinung nach sei es unnötig, dass sie Einblick in die Einkommensdaten ihres Exgatten erhalte, welche sich auf die Zeit nach der Scheidung beziehen. Sie verlangte daher von der Ausgleichskasse, dass diese ihren ehemaligen Ehemann nicht im selben Ausmass informiere. Schliesslich gebe es keinen Grund, dass ihr Exmann über ihre finanziellen Verhältnisse nach der Scheidung informiert werde. Die zuständige AHV-Ausgleichskasse weigerte sich jedoch auf das Anliegen der Frau einzugehen. Wir teilen die Ansicht der Frau umfassend und wurden in unserer Meinung durch das Bundesamt für Sozialversicherung (BSV) bestätigt. Für geschiedene Ehegatten sind nur die Einkommen von beiden Ehegatten während der Ehe relevant. Das gesamte Einkommen während der Ehe wird geteilt, und dem- entsprechend ergeben sich daraus die AHV-Renten (Splitting). Die geschiedenen Ehegatten können bei der zuständigen Ausgleichskasse die AHV-Ansprüche aus der Ehe feststellen lassen. Unverhältnismässig ist es aber, dass sie auch über die jeweiligen Einkommensverhältnisse (inkl. Arbeitgeber etc.) nach der Scheidung gegenseitig informiert werden. Schliesslich intervenierte das BSV bei der zuständigen Ausgleichskasse.
81 8QWHUVXFKXQJVJUXQGVDW]XQG3HUV|QOLFKNHLWVUHFKWHLP 6R]LDOYHUVLFKHUXQJVEHUHLFK ,P6R]LDOYHUVLFKHUXQJVUHFKWPÅVVHQGLH%HK|UGHQGHQ6DFKYHUKDOWYRQ$PWHVZHJHQ DENOlUHQ'DEHLVLQG MHGRFK DXFK GLH 3HUV|QOLFKNHLWVUHFKWH GHU 9HUVLFKHUWHQ ]X EHUÅFNVLFKWLJHQ'LHVJLOWLQVEHVRQGHUHIÅUGHQ6R]LDOYHUVLFKHUXQJVEHUHLFKLQZHOFKHP LQGHU5HJHOVHKUVHQVLEOH3HUVRQHQGDWHQEHDUEHLWHWZHUGHQ Mehrmals wurden wir von privater Seite mit der Frage konfrontiert, in welchem Ausmass eine Sozialversicherung Sachverhaltsabklärungen machen darf. Im Sozialversicherungsbereich gilt der Untersuchungsgrundsatz. Danach muss die verfügende Behörde den rechtserheblichen Sachverhalt von Amtes wegen aus eigener Initiative und ohne Bindung an die Vorbringen oder Beweisanträge der Parteien abklären oder feststellen. Der Untersuchungsgrundsatz wird jedoch durch die Mitwirkungspflicht eingeschränkt, wonach diejenige Person, welche aus einem Begehren gegenüber dem Sozialversicherungsträger Rechte ableitet oder zur Auskunft verpflichtet ist, bei der Feststellung des Sachverhaltes mitzuwirken hat. Daneben sind auch die Persönlichkeitsrechte der Versicherten zu berück- sichtigen. Danach muss jede Person die Herrschaft über die sie betreffenden Daten ausüben und eine Bearbeitung dieser Daten auch einschränken können. Je heikler die Daten sind, desto mehr ist darauf zu achten. Das Hauptproblem im Sozialversicherungs- und im Unfallversicherungsbereich im Besonderen liegt darin, dass die Datenbearbeitung durch die Versicherer zu wenig transparent ist. Die versicherte Person weiss in der Regel nicht, bei wem die Versicherung welche Daten zu welchem Zweck einholt bzw. an wen weiterleitet. Das Transparenzprinzip wird denn auch im Datenschutzgesetz (DSG) konkretisiert. Insbesondere das Beschaffen von besonders schützens- werten Personendaten sowie von Persönlichkeitsprofilen muss für die Versicherten erkennbar sein (vgl. Art. 18 Abs. 2 DSG). Im Weiteren stellen wir fest, dass Sozialversicherer einerseits zu viele Daten einholen und andererseits auch zu viele Daten an Dritte weitergeben (Verstoss gegen das Verhältnismässigkeitsprinzip). Macht die betroffene Person ein schutzwürdiges Interesse glaubhaft, kann sie vom Sozialversicherer (vorliegend als Bundesorgan tätig) eine anfechtbare Verfügung verlangen. Insbesondere kann der Versicherte die Bekanntgabe von bestimmten Personendaten sperren lassen (vgl. Art. 20 DSG). Weigert sich der Versicherte gegen die Bekanntgabe von Personendaten, hat er Anspruch auf eine Verfügung. Werden die Personen- daten trotzdem bekanntgegeben, ist dies widerrechtlich. Der Untersuchungsgrundsatz und die Persönlichkeitsrechte müssen in einem vernünftigen Verhältnis zueinander stehen. Grundsätzlich ist vom Selbst- bestimmungsrecht des Betroffenen auszugehen. Eine Datenbearbeitung gegen
82 den Willen des Versicherten dürfte wohl erst dann zulässig sein, wenn die Untersuchung des Sachverhaltes dadurch verunmöglicht würde. Solange jedoch andere Möglichkeiten bestehen, den Sachverhalt abzuklären, hat der Persönlichkeitsschutz vorzugehen. Gesetzliche Regelungen, welche die Persönlichkeitsrechte in den einzelnen Sozialversicherungserlassen konkretisieren würden, fehlen im gegenwärtigen Zeitpunkt. Dennoch gelten die oben erwähnten Datenschutzgrundsätze schon jetzt. 3ULYDWYHUVLFKHUXQJHQ %HNDQQWJDEHYRQ3HUVRQHQGDWHQLQV$XVODQGLP +DIWSIOLFKWYHUVLFKHUXQJVEHUHLFK +DIWSIOLFKWYHUVLFKHUHUODVVHQYHUPHKUW*XWDFKWHQLP$XVODQGHUVWHOOHQ6RZHLWMHGRFK 3HUVRQHQGDWHQLQV$XVODQGEHNDQQWJHJHEHQZHUGHQVLQGGLHGDWHQVFKXW]UHFKWOLFKHQ 9RUJDEHQHLQ]XKDOWHQ Haftpflichtversicherer klären u. a. ab, ob sie allenfalls für den Schaden haften oder nicht. Vermehrt stellen wir dabei fest, dass diese – gegen den Willen der betroffenen Personen - biomechanische Gutachten im Ausland einholen. Insbesondere bei Verkehrsunfällen kommt es oft zu HWS-Verletzungen (Schleudertrauma), deren Ursache in Literatur und Rechtsprechung sehr umstritten ist. Mit einem biomechanischen Gutachten wollen die Haftpflicht- versicherer erfahren, ob die Kausalität zwischen Unfallereignis und den Beschwerden der geschädigten Person gegeben ist oder nicht. Damit ein biomechanisches Gutachten erstellt werden kann, sind in der Regel auch Personendaten, ja sogar besonders schützenswerte Personendaten (Gesundheitsdaten) nötig. Mindestens die Tatsache, dass die betroffene Person eine HWS-Verletzung erlitt, dürfte der Gutachterstelle bekannt sein. Werden Personendaten bearbeitet, bedarf dies eines Rechtfertigungsgrundes. Ist kein Rechtfertigungsgrund gegeben, liegt eine widerrechtliche Persönlichkeits- verletzung vor. Insbesondere dürfen ohne Rechtfertigungsgrund Personendaten nicht gegen den ausdrücklichen Willen der betroffenen Person bearbeitet werden. Auch dürfen besonders schützenswerte Personendaten oder Persönlickeitsprofile Dritten nur bekanntgegeben werden, wenn ein Rechtfertigungsgrund vorliegt. Bearbeitet z.B. eine Haftpflichtversicherung Personendaten gegen den ausdrücklichen Willen der betroffenen Person, ist von einer Datenschutz- verletzung auszugehen. Denn ein Rechtfertigungsgrund dürfte in den meisten
83 Fällen nicht vorliegen. Werden sogar besonders schützenswerte Personendaten ohne Rechtfertigungsgrund Dritten bekanntgegeben, so liegt ebenfalls eine widerrechtliche Persönlichkeitsverletzung vor. Schliesslich dürfen Personendaten nicht ins Ausland bekanntgegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil ein Datenschutz fehlt, der dem schweizerischen gleichwertig ist. Es ist demnach zu untersuchen, ob der entsprechende Staat ein gleichwertiges Datenschutzniveau aufweist. Selbst in einem Staat mit gleichwertigem oder gar höherem Datenschutz bleibt es für die betroffene Person oft schwierig, allfällige Ansprüche im Ausland durchzusetzen (anderes Rechtssystem, fremde Kultur, Sprache, Kostenrisiko etc.). Unseres Erachtens sollen daher Personendaten erst dann ins Ausland übermittelt werden, wenn eine Datenbearbeitung im Inland, die demselben Zweck dient, tatsächlich nicht möglich ist. Je sensibler die Daten sind, desto mehr ist darauf zu achten. (LQZLOOLJXQJVNODXVHOQ ,P3ULYDWYHUVLFKHUXQJVEHUHLFKLVWGLH7UDQVSDUHQ]GHU'DWHQEHDUEHLWXQJLPPHUQRFK XQJHQÅJHQG :LU XQWHUVWÅW]HQ GDKHU %HVWUHEXQJHQ ZHOFKH GLHVHV .RQVXPHQWHQ DQOLHJHQ]XP=LHOKDEHQ Im Privatversicherungsbereich werden immer noch «Generalvollmachten» verwendet. Solche Klauseln sollen den Versicherungen erlauben, die Personen- daten der Versicherten zu bearbeiten. In der Regel ist aber für die Versicherten unklar, wer welche Daten zu welchem Zweck bearbeitet. Sie sind aus Sicht des Datenschutzes daher nichtig. Die Tragweite der jederzeit widerrufbaren Einwilligungsklauseln muss für die betroffenen Personen erkennbar sein. Bei vorformulierten Einwilligungsklauseln besteht jedoch die Gefahr, dass die Einwilligung zur reinen Formalität absinkt. Wir unterstützen daher Bestrebungen, welche die Persönlichkeitsrechte der Versicherten und insbesondere die Transparenz im Versicherungswesen verbessern helfen. Diesbezüglich verweisen wir auf unsere letzten Tätigkeits- berichte (4. Tätigkeitsbericht S. 40, 5. Tätigkeitsbericht S. 46). Mit der Einwilligungsklausel wollen die Versicherungen nicht nur Personendaten von Behörden und sonstigen Dritten einfordern, sondern auch die Ärzte von ihrer ärztlichen Schweigepflicht entbinden. Diesbezüglich sind Vertreter der Ärzteschaft und der Versichertengemeinschaft daran, ein Projekt auszuarbeiten, dessen Ausgangspunkt die ärztliche Schweigepflicht ist. Die Postulate des Projekts sind in unserem Sinne und lassen sich wie folgt zusammenfassen: Es geht vom Arztgeheimnis aus, dessen Verletzung durch das Strafgesetzbuch sanktioniert wird. Das Arztgeheimnis gilt
84 auch gegenüber anderen Ärzten. Es kann mit Einwilligung der betroffenen Person aufgehoben werden. Die Tragweite der Einwilligung muss jedoch für die betroffene Person erkennbar sein und ist für jeden Einzelfall einzufordern. Pauschale Einwilligungsklauseln, welche zum Voraus abgegeben werden, sind nichtig. Der EDSB begrüsst solche Initiativen. Dies gilt insbesondere in einem Bereich, in welchem sehr sensible Personendaten bearbeitet werden. 7HQGHQ]]XVHKUGHWDLOOLHUWHQ)UDJHERJHQLP 3ULYDWYHUVLFKHUXQJVEHUHLFK :LUVWHOOHQIHVWGDVVYRQYHUVFKLHGHQHQ9HUVLFKHUXQJVJHVHOOVFKDIWHQ)RUPXODUHPLW SUDNWLVFKLGHQWLVFKHP,QKDOWYHUZHQGHWZHUGHQ$XIIlOOLJLVWGDVVGLHVH)RUPXODUHVHKU YLHOH*HVXQGKHLWVIUDJHQHQWKDOWHQ Wir wurden sowohl von privater Seite als auch von der Ärzteschaft mehrmals darauf hingewiesen, dass einerseits verschiedene Versicherungsgesellschaften praktisch die identischen Fragebogen benutzen. Dies betrifft insbesondere den Lebensversicherungs- sowie den Vorsorgebereich. Andererseits weisen diese Formulare sehr viele Gesundheitsfragen auf. Als Beispiel sei hier das Formular «Ärztlicher Untersuchungsbericht» der Schweizerischen Lebensversicherungsgesellschaften erwähnt. Dieser Fragebogen wird offensichtlich u. a. dann verwendet, wenn jemand in eine Pensionskasse aufgenommen werden will. Immerhin sind vorliegend über 80 Fragen zu beantworten. Ein Teil der Fragen ist zudem durch einen vorbestimmten Arzt auszufüllen. Will der neu eintretende Arbeitnehmer weder mit der Vorsorgeeinrichtung noch mit dem Arbeitgeber Probleme bekommen, hat er faktisch keine Wahl, als dieses Prozedere über sich ergehen zu lassen. Umstritten ist, ob dieser Fragebogen, welcher sich nur auf den über- obligatorischen Teil beziehen kann, noch mit dem Datenschutzgesetz vereinbar ist. Bekanntlich dürfen auch im Privatversicherungsbereich nur die für den jeweiligen Zweck geeigneten und erforderlichen Fragen gestellt werden. Wir sind deshalb daran, beim Schweizerischen Versicherungsverband sowie beim Bundesamt für Privatversicherungswesen die nötigen Abklärungen machen zu lassen. Insbesondere interessiert uns, ob noch weitere Versicherungen in der Schweiz dasselbe oder analoge Musterformulare verwenden. Im Weiteren möchten wir wissen, ob sämtliche Gesundheits- angaben, wie sie von den verschiedenen Versicherungsgesellschaften vorliegend verlangt werden, in jedem Fall erforderlich sind.
85 %HNlPSIXQJGHV9HUVLFKHUXQJVPLVVEUDXFKVXQG'DWHQVFKXW] 'LH 9HUVLFKHUXQJVZLUWVFKDIW EHDEVLFKWLJW YHUPHKUW JHJHQ GHQ 9HUVLFKHUXQJV PLVVEUDXFKYRU]XJHKHQ'LH9HUVLFKHUHUVLQGGHU$QVLFKWGDVVVWlUNHUH0DVVQDKPHQ LP,QWHUHVVHGHUHKUOLFKHQ9HUVLFKHUWHQQRWZHQGLJVLQG$XV6LFKWGHV'DWHQVFKXW]HV VLQGGDEHLLQVEHVRQGHUHGLHGDWHQVFKXW]UHFKWOLFKHQ*UXQGVlW]HHLQ]XKDOWHQ Nach Aussagen der Versicherungswirtschaft hat der Versicherungsmissbrauch zugenommen. Gründe seien u.a. die schlechte Wirtschaftslage, eine aus- geprägtere Anspruchsmentalität sowie ein abnehmendes Unrechtsbewusstsein. Der Schweizerische Versicherungsverband (SVV) hat daher eine Fachstelle zur Bekämpfung des Versicherungsmissbrauchs eingerichtet. Personendaten dürfen nur dann bearbeitet werden, soweit ein Rechtfertigungs- grund vorliegt. Grundsätzlich ist das Interesse der Versicherer nicht von der Hand zu weisen, den Versicherungsmissbrauch zu bekämpfen. Entscheidend ist aber, dass dabei die datenschutzrechtlichen Grundsätze eingehalten werden. So hat der Eingriff in die Persönlichkeit der Betroffenen für den vorliegenden Zweck verhältnismässig zu sein. Im Weiteren sind die Betroffenen soweit als möglich zu informieren (Transparenzprinzip). Das Zentrale Informationssystem (ZIS) z. B. soll die Versicherungs- gesellschaften vor betrügerischen Machenschaften schützen. Das ZIS führt eine (bei uns angemeldete) Datensammlung über hängige und bereits abgeschlossene Straf- und Zivilverfahren (vgl. auch 4. Tätigkeitsbericht S. 43/44). Das Reglement des ZIS wird zur Zeit vom SVV überarbeitet und dem EDSB schliesslich zur Prüfung unterbreitet. Einerseits wird zu untersuchen sein, ob die vorgesehenen Eintragungen im ZIS tatsächlich geeignet und erforderlich sind. Aus unserer Sicht entscheidend ist aber, dass die im ZIS registrierten Personen über den Eintrag im ZIS informiert sind. Für die Betroffenen besteht so die Möglichkeit, allfällige unrichtige Einträge löschen zu lassen. Andererseits dürfte das Wissen um den Eintrag für die Betroffenen auch eine präventive Wirkung haben. Dies dürfte auch im Interesse der Versicherungswirtschaft sein. Im Übrigen haben wir den SVV gebeten, uns über allfällige weitere Aktivitäten betreffend Versicherungsmissbrauch zu informieren.
86 $XIQDKPHYHUIDKUHQLQGLH.UDQNHQWDJJHOGYHUVLFKHUXQJXQGLQGLH 3HQVLRQVNDVVH ,P$XIQDKPHYHUIDKUHQLQHLQH.UDQNHQWDJJHOGYHUVLFKHUXQJE]ZLQHLQH3HQVLRQVNDVVH HUKDOWHQGLH$UEHLWJHEHURIWPDOV(LQEOLFNLQGLH*HVXQGKHLWVGDWHQLKUHU$UEHLWQHKPHU 'LHVLVWPLWGHP'DWHQVFKXW]JHVHW]QLFKWYHUHLQEDU Tritt jemand eine neue Stelle an, so hat er in der Regel auch einen Antrag für die Aufnahme in eine Krankentaggeldversicherung und eine Pensionskasse zu stellen. Für diesen Zweck sind standardisierte Formulare mit Gesundheitsfragen auszufüllen. Denn eine Risikoselektion bei Krankentaggeldversicherungen ist im Aufnahmeverfahren grundsätzlich möglich. Dasselbe gilt für den über- obligatorischen Vorsorgebereich. Diesbezüglich müssen wir immer wieder feststellen, dass einige Antrags- formulare gegen wesentliche Grundsätze des Datenschutzes verstossen. Die Formulare (mit den Gesundheitsfragen) sind sowohl vom Arbeitnehmer (versicherte Person) als auch vom Arbeitgeber (Versicherungsnehmer) auszufüllen. Dadurch erhält der Arbeitgeber unberechtigterweise Einblick in die Gesundheitsdaten des Arbeitnehmers (Verstoss gegen das Verhältnis- mässigkeitsprinzip). Nicht nur ungenügende Antragsformulare verletzen den Datenschutz: In einem uns bekannten Fall informierte eine Krankenkasse den Arbeitgeber, dass der neu eintretende Arbeitnehmer HIV-positiv sei und daher nur mit einem Vorbehalt in die Krankentaggeldversicherung aufgenommen werden könne. Dass dies - insbesondere in der heutigen Zeit - für den Arbeitnehmer schwerwiegende Konsequenzen haben kann, dürfte klar sein. Unseres Erachtens darf der Arbeitgeber erst dann über das Bestehen eines Versicherungs- vorbehaltes informiert werden, wenn er - aufgrund des Vorbehaltes - den Lohn anstelle des Krankengeldes auszubezahlen hat (vgl. auch Bericht der Arbeits- gruppe «Datenschutz und Analysenliste/Krankenversicherung» (ADAK) in Beiträge zur Sozialen Sicherheit Nummer 2/96, zu beziehen beim BSV). Der gesamte Problembereich Versicherung/Arbeitgeber bedarf hinsichtlich des Datenschutzes einer vertieften Analyse. Unbestritten ist, dass der Arbeitgeber unter einem verstärkten Kostendruck steht und ein legitimes Interesse hat, nur kostengünstige «gesunde» Arbeitnehmer einzustellen. Dies ändert aber nichts daran, dass er unter keinen Umständen Einblick in die Gesundheitsfragebögen der Versicherungen haben darf.
87 HVXQGKHLWVZHVHQ ,OOHJDOH 'DWHQIOÅVVH LP 5DKPHQ GHU VRJHQDQQWHQ EHVRQGHUHQ 9HUVLFKHUXQJVIRUPHQ" HPlVV'DWHQVFKXW]JHVHW]PXVVMHGHUHJHOPlVVLJH%HDUEHLWXQJYRQHVXQGKHLWVGDWHQ DXVGUÅFNOLFKDXIHVHW]HVVWXIHYRUJHVHKHQVHLQ,P.9VLQGGLH'DWHQIOÅVVHEHL EHVRQGHUHQ9HUVLFKHUXQJVIRUPHQMHGRFKÅEHUKDXSWQLFKWJHUHJHOWUXQGSUREOHPLVW GDEHL GLH 8QNODUKHLW GHU $XIJDEHQ GHU HLQ]HOQHQ $NWHXUH LQ VROFKHQ QHXHQ 9HUVRUJXQJVVWUXNWXUHQ Organe des Bundes handeln aufgrund von gesetzlichen Aufträgen und im Rahmen derselben. Dies ist die Bedeutung des Grundsatzes der Legalität, welcher in der höchstrichterlichen Rechtsprechung sowie in den Artikeln 17 bis 19 des DSG Konkretisierung erfahren hat. Die Konkretisierungen lassen sich grob in zwei Aussagen ausdrücken. Erstens sind die Anforderungen sowohl an die Stufe als auch an die Genauigkeit der gesetzlichen Regelung gesteigert, wenn die bearbeiteten Daten heikel sind und wenn die Anzahl der betroffenen Personen gross ist. Zweitens kann als Ausprägung des Legalitätsprinzips die Einwilligung einer betroffenen Person die gesetzliche Grundlage Daten- bearbeitung durch ein Bundesorgan bloss dann rechtfertigen, wenn die Bearbeitung eine Ausnahme darstellt. Bearbeitungen, welche regelmässig stattfinden sollen, müssen sich dagegen auf eine gesetzliche Grundlage stützen. Bearbeitungen von Gesundheitsdaten müssen gemäss DSG DXVGUÅFNOLFKLQ HLQHPIRUPHOOHQHVHW]YRUJHVHKHQ sein. Im Bereich der obligatorischen Krankenversicherung sind demgemäss hohe Anforderungen an die Präzision der Regelung auf Stufe des Bundesgesetzes zu stellen. Im Gegensatz zu diesen Anforderungen steht die Tatsache, dass die Regelung des Krankenversicherungsgesetzes schon für die ordentliche Form der Grundversicherung höchst auslegungsbedürftige Elemente enthält. Geradezu ernüchternd wirkt aber, dass die mit besonderen Versicherungsformen verbundenen 'DWHQIOÅVVHLPHVHW]ÅEHUKDXSWQLFKWJHUHJHOWsind und dass bei genauem Hinsehen nicht einmal die Aufgaben der einzelnen Akteure in solchen Modellen dem Gesetz entnommen werden können. Es ist weder die Funktion des EDSB noch liegt es in unserer Kompetenz, fehlende Gesetzesgrundlagen durch wie auch immer geartete Bewilligungen zu substituieren. Wir können bloss sämtliche Akteure, mit welchen wir im Zusammenhang der besonderen Versicherungsformen Kontakte haben, regel- mässig auf den Regelungsbedarf und die absehbaren Probleme im Falle von Untätigkeit des Gesetzgebers hinweisen.
88 1RYD/LJKW9HUVLFKHUXQJVPRGHOOGHU6ZLFD 'LH,GHHOHXFKWHWHLQ(LQ9HUVLFKHUWHUEHVFKUlQNWVHLQH$U]WZDKODXIGLHMHQLJHQbU]WH ZHOFKH YRP 9HUVLFKHUHU DXIJUXQG LKUHU NRVWHQJÅQVWLJHQ 9HUVRUJXQJ DXVJHZlKOW ZHUGHQ$XIJUXQGGLHVHU.RVWHQJÅQVWLJNHLWJHZlKUWGHU9HUVLFKHUHUGHP9HUVLFKHUWHQ HLQHQEHVWLPPWHQ5DEDWWDXIGHVVHQ3UlPLHQ,P=XVDPPHQKDQJPLWGHP$XVZDKO YHUIDKUHQXQGGHU'DWHQJUXQGODJHVWHOOWHQVLFKDXFK)UDJHQGHV'DWHQVFKXW]HV Aus Presseberichten, aus der Werbung der Swica wie auch aus der Gegen- werbung seitens der Ärzteschaft ist die Möglichkeit bekannt, bei diesem Unternehmen die obligatorische Krankenversicherung zu günstigeren Tarifen abzuschliessen und im Gegenzug die Arztwahl auf eine vom Versicherer erstellte Liste von Ärzten einzuschränken. In diesem Zusammenhang stellten sich nebst Fragen des Kartellrechts und der Gesundheitspolitik auch Datenschutzfragen. Der EDSB wurde von einer grossen Anzahl von Medizinern in der Angelegenheit angegangen. Wir haben dabei vor allem zwei Fragen geprüft, wovon wir die eine offenlassen mussten. Zunächst stellte sich die Frage, ob die Swica auf die Daten der sogenannten KSK-Statistik zugreifen darf, um die Auswahl der kostengünstigen Ärzte zu treffen. Dazu ist zu ergänzen, dass in der KSK-Statistik genannten Datensammlung aus Daten aller dem Konkordat der Schweizerischen Kranken- versicherer angeschlossenen Versicherer besteht. Darin könnte auf den ersten Blick eine Schweigepflichtverletzung durch andere Versicherer bzw. durch den Inhaber der Datensammlung erblickt werden. Aus folgenden Gründen teilen wir jedoch die Auffassung des Bundesamtes für Sozialversicherung, wonach ein Versicherer auf die Gesamtheit der – heute in der Datensammlung vorhandenen – Informationen zugreifen darf. Zunächst ist nämlich zum Inhalt der Datensammlung anzumerken, dass nur die Leistungserbringer identiziert werden, nicht aber die Patienten. Es liegen somit keine besonders schützenswerten Daten – wie z. B. Gesundheitsdaten – in personenbezogener Form vor, weshalb für die Bearbeitung die vorhandene Rechtsgrundlage auf Verordnungsstufe genügt. Diese ist zu finden in Artikel 76 der Verordnung über die Krankenversicherung, wonach die Versicherer gewisse Daten zu bestimmten abschliessend aufgezählten Zwecken JHPHLQVDP bearbeiten dürfen. Unter diesen Zwecken findet sich auch die «Analyse der Kosten und deren Entwicklung», was den von der Swica verfolgten Bearbeitungszweck wohl abdeckt. Der zweite Fragenkomplex, jener nach der 5LFKWLJNHLW XQG (LJQXQJ der verwendeten Daten ist bestimmt ein ebenso wichtiger. Mit Bezug auf die Richtigkeit der Daten auf der Liste ist festzuhalten, dass diese zumindest im ersten Anlauf nicht gewährleistet war. So figurierte beispielsweise ein vor anderthalb Jahren verstorbener Arzt auf der Liste, welcher – natürlich – in der
89 Bemessungsperiode nur noch wenige Kosten verursacht hatte. Die Swica prüft gemäss eigenen Angaben die Möglichkeit mehrmals jährlich aktualisierter Ärztelisten, womit die Aktualität der Daten verbessert werden dürfte. Die Frage nach der Eignung der verwendeten Daten ist bestimmt eine grundsätzliche. Ebenso sicher scheint allerdings, dass es sich dabei nicht in erster Linie um eine Frage des Datenschutzes handelt. Vielmehr geht es um die Prüfung, ob vom verwendeten Auswahlverfahren gesagt werden kann, dass es tatsächlich «im Hinblick auf eine kostengünstigere Versorgung» erfolgt und damit die Anforderung von Art. 41 Abs. 4 KVG erfüllt. Diese Frage nach der Eignung bzw. Angemessenheit des Auswahlverfahrens mussten wir im Gegensatz zu derjenigen nach der Rechtsgrundlage für die erfolgten Zugriffe offenlassen. Ihre Beantwortung hat nach Kriterien der Gesundheitsökonomie im allgemeinen und des sogenannten «Physician Profiling» im besonderen zu erfolgen. 'DWHQEHDUEHLWXQJHQLPHVXQGKHLWVZHVHQVLQGJHPHVVHQDQLKUHP $XVPDVVNDXPJHUHJHOW ,P%HUHLFKGHVHVXQGKHLWVZHVHQVLVWLQMÅQJVWHU=HLWHLQHHQRUPH=XQDKPHGHU'DWHQ EHDUEHLWXQJHQ]XEHREDFKWHQ'LHVH=XQDKPHQOLHJHQQLFKWHWZDLQbQGHUXQJHQGHV .9EHJUÅQGHW9LHOPHKUYHUVXFKHQGLHEHDUEHLWHQGHQ2UJDQH]XU%HJUÅQGXQJLKUHU )RUGHUXQJHQQDFK'DWHQOLHIHUXQJHQ]XQHKPHQGH[WHQVLYH$XVOHJXQJHQGHURIIHQHQ %HJULIIHLPEHVWHKHQGHQHVHW]DQ]XIÅKUHQ'LHVH7HQGHQ]VFKHLQWGDWHQVFKXW]UHFKWOLFK SUREOHPDWLVFKXQGVWHKW]XGHPLP:LGHUVSUXFK]XU/HJDOLWlW Folgende Beobachtung ist nicht neu: Wo wir sehr viele Datenschutzprobleme feststellen, dort liegen die Grundprobleme oft in 8QNODUKHLWHQ, insbesondere in XQNODUHQ=LHOHQ der Bearbeitungen. Im Umfeld des Krankenversicherungs- gesetzes sind die Unklarheiten zahlreich. Damit ist nicht gesagt, das Gesetz sei an sich schlecht. Es sei lediglich die Bemerkung erlaubt, dass es angesichts bedeutender Unklarheiten sowie angesichts der nicht deckungsgleichen Interessen der Beteiligten gar nicht anders sein kann, als dass die verschiedenen Akteure die Rechtslage bezüglich wichtiger Fragen unterschiedlich interpretieren. Es existieren Unklarheiten bei der Abgrenzung der Zuständig- keiten des Bundes (Krankenversicherung) und der Kantone (Spitäler), weitere im Verhältnis zwischen Planung und Markt und schliesslich gibt es die in den offenen Begriffen des Gesetzeswortlauts begründeten Unklarheiten. Im Folgenden wird anhand von zwei Beispielen auf letztere eingegangen. Ein zentraler Begriff des Krankenversicherungsgesetzes ist derjenige der :LUWVFKDIWOLFKNHLW der Leistung, deren Prüfung den Versicherern gemäss KVG ermöglicht werden muss. Angesichts der mangelnden Konkretheit des Begriffs
90 ist die Tendenz der Versicherer nur verständlich, den Begriff nicht präzise zu definieren und möglichst weit auszulegen. Auf diese Weise wird versucht, entsprechend weitgehende Bedürfnisse nach regelmässiger Datenlieferung zu definieren. Solchen Forderungen steht aber die Regelung des KVG entgegen, welche Datenlieferungen im von den Versicherern verlangten Ausmass nur im Einzelfall und auf Anfrage als rechtfertigt. Dass es auch anders geht, beweist eine Liste von 64 allgemein gehaltenen Diagnosen, welche im Rahmen einer Managed Care Vereinbarung zwischen einem Universitätsspital, der Managed Care Abteilung, dem vertrauensärztlichen sowie dem Juristischen Dienst von zwei der grössten Krankenversicherer entwickelt wurde. Diese allgemeinen Diagnosen haben sich im Test als für den regelmässigen Datenaustausch genügend erwiesen und – was für den Administrativaufwand bedeutsam ist – sie lassen sich automatisiert aus den in Spitälern für Statistikzwecke erfassten ICD- 10 Codes ableiten (siehe Anhang S. 181). Ein weiterer recht offener Begriff ist derjenige der $XIVLFKW. In diesem Zusammenhang verlangt das Bundesamt für Sozialversicherung (BSV) Daten, während die Versicherer nun diejenigen sind, welche Daten liefern sollen. Dementsprechend sind sie natürlicherweise geneigt, ihre Datenlieferungspflicht eher eng zu definieren. In der Tat gibt es im KVG Anhaltspunkte für diese Position, zumindest was die Menge der regelmässig zu liefernden Daten betrifft. Analog zum vorstehenden Beispiel der Wirtschaftlichkeitskontrolle durch die Versicherer sieht das KVG auch für die Aufsichtsfunktion des BSV sehr umfassende Befugnisse zur Beschaffung von Daten LP(LQ]HOIDOOvor. In bestimmten und konkreten Fällen ist es durchaus berechtigt, einen Versicherer vollständig zu «durchleuchten». Die Menge der regelmässig – auf Vorrat – für Aufsichtszwecke zu liefernden Daten ist demgegenüber im KVG nicht definiert. Solange die Konkretisierung der aufsichtsrechtlichen Bearbeitungszwecke nicht erfolgt ist, erscheint es jedenfalls als problematisch, wenn die zu statistischen Zwecken erhobenen Daten auch für die – nicht genügend genau definierten – Aufsichtszwecke verwendet würden. Eine Illustration für offenen Fragen mit Bezug auf die Tragweite der Aufsichtsbefugnisse des BSV ist beispielsweise das durch verschiedene Spitäler ausgesprochene Verbot gegenüber dem Bundesamt für Statistik, die von ihnen erhobenen Daten dem BSV zu Aufsichtszwecken weiterzuleiten.
91 &KLSNDUWHLPHVXQGKHLWVZHVHQ$OOKHLOPLWWHORGHU3ODFHER" 0HGL]LQLVFKH,QIRUPDWLRQHQDXIHLQHU&KLSNDUWHVSHLFKHUQ]XZROOHQVWHOOWVLFKEHL JHQDXHUHP +LQVHKHQ DOV HLQH XQDXVJHUHLIWH ,GHH KHUDXV 1HEVW UHFKWOLFKHQ XQG WHFKQLVFKHQUÅQGHQGHV'DWHQVFKXW]HVVSUHFKHQQlPOLFKDXFKPHGL]LQLVFKHUÅQGH GDJHJHQ8QGGLHDQJHEOLFKSRVLWLYH:LUNXQJDXIGLH.RVWHQGHVHVXQGKHLWVZHVHQV VLQGNHLQHVZHJVHUZLHVHQH7DWVDFKH Verschiedentlich – und in letzter Zeit vermehrt – beobachten wir Initiativen aus allerlei Kreisen, welche sich unter den Titel «Chipkarte im Gesundheitswesen» subsumieren lassen. Mit Bezug auf diejenigen Projekte, welche darauf zielen, auf Chipkarten medizinische Informationen unterzubringen, sind einige Richtig- stellungen am Platze. Zuallererst ist darauf hinzuweisen, dass aufgrund der grundrechtlichen Bedeutung eines solchen Vorhabens hohe Anforderungen an dessen demokratische Legitimierung zu stellen wären, weshalb eine Grundlage in einem formellen Gesetz Voraussetzung dafür wäre. Sodann ist aus Sicht des Datenschutzes zu betonen, dass schwerwiegende Probleme des Persönlichkeitsschutzes nicht auf den ersten Blick offensichtlich sind und auch nicht mit blossen technischen und organisatorischen Massnahmen gelöst werden können. Welches wäre beispielsweise die adäquate technische Massnahme, die ausschliesst, dass ein Arbeitsloser beim Bewerbungsgespräch vor die Wahl gestellt wird, dem potentiellen Arbeitgeber seine Gesundheitsdaten vollständig offenzulegen oder das Gespräch sogleich – und mit negativem Ausgang, versteht sich – zu beenden? Aber auch auf der Ebene der technischen und organisatorischen Massnahmen gäbe es einiges zu überlegen. Stichworte sind hier insbesondere die Transparenz für den Betroffenen (unter anderem durch Gewährleistung einer einfachen und kostenlosen Ausübung des Auskunftsrechts) sowie die Notwendigkeit, dass die Betroffenen Zugriffsrechte selektiv erteilen können. Auch aus medizinischer Sicht ist es keine gute Idee, medizinische Daten auf Chipkarten speichern zu wollen. Gerade die häufig angeführte Verwendbarkeit von Chipkarten als sogenannte Notfallkarten stellt sich bei genauerem Hinsehen als illusorisch heraus. Denn erstens treten Notfälle typischerweise dort auf, wo gerade kein – funktionierendes – Lesegerät für die Karte vorhanden ist: Am Strand einer verlassenen Insel, im Flugzeug, beim Bergsteigen etc. Zweitens und vor allem aber darf und wird kein Arzt allein aufgrund von Angaben auf einer Karte (Chipkarte oder andere) eine Bluttransfusion vornehmen. Aber auch für andere Zwecke können die auf der Chipkarte vorhandenen Daten nie mit Sicherheit als aktuell betrachtet werden. Betrachtet man z.B. die Resultate aus Laboruntersuchungen, so stellt man fest, dass diese oft erst vorliegen, wenn der Patient das Labor schon seit Stunden verlassen hat (eventuell war er gar nie dort). Die betroffene Person trägt aber gemäss der regelmässig auftauchenden
92 Vorstellung die Notfallkarte stets auf sich, weshalb keine realistische Möglichkeit in Sicht ist, die Aktualität der Daten zu gewährleisten. Mit Bezug auf die Sicherheit trifft man oft auf positive Beurteilungen der Chipkarte. Es darf aber behauptet werden, dass dort, wo die Frage seriös geprüft wird, starke Zweifel an der Sicherheit der Technologie an sich aufkommen (vgl. z.B. Ross Anderson und Markus Kuhn, Tamper Resistance - a Cautionary Note, in 7KH6HFRQG86(1,;:RUNVKRSRQ(OHFWURQLF&RPPHUFH3URFHHGLQJV, Oakland, California, November 18-21, 1996, S. 1-11, ISBN 1-880446-83-9). Was schliesslich die Aussicht auf Kostensenkungen durch eine Chipkarte für alle Versicherten/Patienten betrifft, so ist diese mit Vorsicht zu betrachten. Erstens trifft zwar zu, dass durch eine «Buchführung» die Wiederholung diagnostischer Handlungen vermieden werden kann. Es müsste aber zusätzlich sichergestellt werden, dass genau die unnötigen Handlungen unterbunden werden. Andernfalls hätte die Chipkarte ja einen negativen Einfluss auf die Volksgesundheit. Zweitens setzt der flächendeckende Einsatz von Chipkarten in einer ersten Phase massive Investitionen nur schon für die notwendigen Lesegeräte voraus. (Ähnliche Kosten würden darüber hinaus bei jedem Technologiewechsel - und wer könnte solche Entwicklungen ausschliessen - erneut anfallen.) Schon fast ironisch mutet in diesem Zusammenhang an, wenn die Aussicht auf Kostenersparnis von denjenigen angekündigt wird, welche selbst an der Einführung von Chipkarten Geld zu verdienen gedenken. Abschliessend betonen wir deshalb, dass bis heute keine Zahlen existieren, welche den immer wieder versprochenen positiven Effekt auf die Gesundheits- kosten als Ganzes belegen.
93 HQHWLN 9RUSURMHNW GHV %XQGHVJHVHW]HV ÅEHU JHQHWLVFKH 8QWHUVXFKXQJHQ EHLP0HQVFKHQ 'DV9RUSURMHNWGHV%XQGHVJHVHW]HVÅEHUJHQHWLVFKH8QWHUVXFKXQJHQEHLP0HQVFKHQ ZXUGH GXUFK HLQH GD]X HLQJHVHW]WH ([SHUWHQNRPPLVVLRQ XQWHU GHU bJLGH GHV %XQGHVDPWHVIÅU-XVWL]HUDUEHLWHWXQGGHQLQWHUHVVLHUWHQ.UHLVHQELV]XP0lU] ]XU9HUQHKPODVVXQJXQWHUEUHLWHW1HEHQGHQGDULQDXIJHZRUIHQHQUXQGIUDJHQGHV 3HUV|QOLFKNHLWVVFKXW]HVLVWGLH%HGHXWXQJHLQHV3XQNWHV±6WDWXVGHU3UREHQ±QRFK XQJHNOlUW 'LH (UJHEQLVVH GHU 'LVNXVVLRQ ZHOFKH GHU $XVVFKXVV ©'LDORJ ]XU HQGLDJQRVWLN/DLHQXQG)DFKOHXWHLPHVSUlFK™LQ%DVHORUJDQLVLHUWHEHZHLVHQGLH 1RWZHQGLJNHLWGHU|IIHQWOLFKHQ$XVHLQDQGHUVHW]XQJ 9RUSURMHNWGHV%XQGHVJHVHW]HVÅEHUJHQHWLVFKH8QWHUVXFKXQJHQEHLP0HQVFKHQ Mit der Delegation eines Vertreters in die Expertenkommission wurden wir von Anfang an am Projekt beteiligt. Das Vorprojekt des Bundesgesetzes über genetische Untersuchungen beim Menschensoll die Voraussetzungen für die Durchführung der genetischen Untersuchungen beim Menschen, die Behandlung der Proben und die Bearbeitung der sich daraus ergebenden genetischen Informationen regeln. Dabei muss der Schutz der menschlichen Würde und der Persönlichkeit in sehr unterschiedlichen Bereichen – Medizin, Arbeit, Versicherungen, Haftpflicht, unter den Umständen einer Personen- oder Leichenidentifizierung – gewährleistet werden. Das Vorprojekt des Bundesgesetzes über genetische Untersuchungen ist das Resultat eines Kompromisses zwischen den Vertretern verschiedener Interessen in der Kommission. Aus diesem Grund schliessen wir uns nicht allen gewählten Optionen voll an, vor allem was die Abschnitte zu Arbeits- und Versicherungs- verhältnissen anbelangt. Für erstere fragt sich, ob die wenigen Fälle, in denen eine präsymptomatische Untersuchung angefordert werden kann, ausreichend allgemein und abstrakt sind, um in einem Gesetz geregelt zu werden. Im Versi- cherungsbereich überwog der Grundsatz der « gleich langen Spiesse ». Im Namen dieses Prinzips und zu bestimmten Bedingungen hat ein Versicherer in einem nicht-obligatorischen Versicherungszweig das Recht, den Versicherungs- nehmer um das Ergebnis von als verlässlich anerkannten präsymptomatischen Untersuchungen zu bitten. Die betroffene Person muss ausserdem Fragen zu ihrer genetischen Veranlagung beantworten. Wir begrüssen die Tatsache, dass der Sektor der obligatorischen Versicherungen ausgespart wurde. Allerdings ist die Unterscheidung mindestens aus zwei Gründen als relativ zu bezeichnen : Es gibt Fälle, in denen
94 eine sogenannte fakultative Versicherung für den Beteiligten entscheidend wichtig und daher quasi obligatorisch ist (z.B. eine Lebensversicherung für Kleinunternehmer mit Liquiditätsproblemen, die einen Bankkredit brauchen, um den Betrieb zu retten). In bestimmten Versicherungsbranchen herrscht ausserdem eine weitgehende Durchlässigkeit zwischen obligatorischem und nicht-obligatorischem Sektor, da die Daten aus Effizienzgründen oft im selben Dossier bearbeitet werden. Daher können genetische Informationen wahllos in den verschiedenen Sektoren ohne Wissen der betroffenen Person benutzt werden. Im Übrigen wurde die Problematik des Persönlichkeitsschutzes und des Schutzes von Personendaten in der Kommission ausführlich besprochen. Die Mitglieder der Kommission wurden für die Notwendigkeit sensibilisiert, die Problematik durch spezifische Bestimmungen zu regeln. Dies führte zur Schaffung von spezifischen Datenschutznormen für jeden im Vorprojekt des Bundesgesetzes über genetische Untersuchungen behandelten Bereich. Die Vertreter des Bundesamtes für Justiz äusserten sich skeptisch zu unserer formellen und materiellen Kompetenz im Bereich der Proben und genetischen Daten auf der Basis von Artikel 24 novies Bundesverfassung. Ausserdem sind sie der Ansicht, dass die Bundes- und Kantonsgesetze zum Datenschutz den Schutz der Proben nicht umfasse, da diese nirgends ausdrücklich aufgeführt werden. Angesichts von Buchstabe und Geist von Artikel 24 novies, der präzise Angaben zum Persönlichkeitsschutz enthält, konnten wir jedoch die Bedenken des Bundesamtes für Justiz nicht teilen. Ausserdem betonten wir, dass der Bundesgesetzgeber sich auf diese Bestimmung stützen kann, um unsere Kompetenz auf Kantonsorgane, welche Proben verwenden und genetische Daten behandeln, zu erweitern ; im übrigen würden die Kantone der Überwa- chung durch die kantonalen Datenschutzstellen unterstellt (vorbehaltlich der Datenübermittlung im Rahmen der medizinischen Forschung im Sinne von Artikel 321 bis Strafgesetzbuch). Angesichts der Missbrauchsgefahr im Genbereich wäre es angezeigt, mit dem Eidgenössischen Datenschutzbeauftragten eine einzige Kontrollinstanz vorzusehen, welche die Einheit der Doktrin gewährleistet, und zudem einheitliche Datenschutzregeln für das gesamte Gebiet der Schweiz einzuführen. Das liegt sowohl im Interesse der betroffenen Personen wie auch der Verantwortlichen für die Verwendung der Proben und für die Bearbeitung genetischer Daten. Diese Personen wüssten über ihre Pflichten genau Bescheid und müssten sich nicht fragen, ob sie als Privatpersonen, als Kantons- oder Bundesorgane handeln. Die Proben werden weder im DSG noch in der Botschaft des Bundesrates oder im Kommentar zum fraglichen Gesetz ausdrücklich erwähnt. Gleiches gilt für andere Informationsträger (Disketten, Festplatten, Magnetstreifen u.a.). Der Gesetzgeber hat von der Aufzählung abgesehen, damit das DSG nicht zu
95 schnell überholt wird und unabhängig von der technischen Entwicklung gelten kann. Dessenungeachtet umfasst das DSG den Schutz der Daten wie der Daten- träger. Eine anderslautende Auslegung würde das Gesetz seines Inhalts entleeren. Das DSG gilt in Fällen, für welche das Vorprojekt des Bundesgesetzes über genetische Untersuchungen keine spezifischen Bestimmungen zum Schutz genetischer Daten vorsieht ; dies muss auch auf die Proben zutreffen. Bei Proben handelt es sich um Datenträger mit zahllosen Informationen, deren Lesbarkeit von den in einem Labor oder einer Arztpraxis durchgeführten Untersuchungen abhängt. Daher gelangten wir zum Schluss, Artikel 5 des Vorprojektes des Bundes- gesetzes über genetische Untersuchungen wie folgt zu formulieren : « Proben und genetische Daten sind durch das Berufsgeheimnis (Artikel 39 des Vorprojektes und Artikel 321- 321bis StGB) sowie durch die im öffentlichen Sektor anwendbaren Bundesbestimmungen über den Datenschutz geschützt. » Schliesslich dürfen zwei Punkte nicht vergessen werden : Proben sind nie anonym, sondern können höchstens von den Identifizierungselementen getrennt werden. Ferner liegt eine Besonderheit der Proben und der genetischen Daten darin, dass nicht nur eine Person, sondern deren ganze Abstammung betroffen ist. Entgleisungen in diesem Bereich können zur Diskriminierung ganzer Bevölkerungsgruppen führen. Sobald Informationen einmal vorliegen, ist es schwer, der Versuchung zu widerstehen, sie zu benutzen, auch wenn die Benutzung eigentlich nicht erlaubt ist. Ein Fall, über den wir informiert wurden, veranschaulicht diese Behauptung : Eine Person beteiligte sich an einer prädiktiven genetischen Beratung zu Forschungszwecken. Der behandelnde Arzt legte den Bericht über die genetische Beratung, der in diesem Rahmen erstellt wurde, ohne Wissen des Betroffenen einem Versicherungsbericht bei. Der Vertragspartner, eine Privat- versicherung, erlangte Kenntnis über die genetischen Anlagen des Beteiligten und akzeptierte ihn zwar als Versicherten, meldete aber Vorbehalte zu etwaigen Konsequenzen seiner Anlagen an. Daraufhin protestierte der Versicherte bei seinem Arzt; dieser wandte sich an die Versicherung, welche schliesslich den Vorbehalt zurückzog. Die Anekdote findet ein glückliches Ende, weil die betroffene Person über ihre Rechte informiert wurde. Im Übrigen wissen wir nicht, ob der Versicherer die genetischen Informationen, über die er illegalerweise verfügte, vernichtet hat. Ebensowenig ist uns bekannt, ob solche Daten gegenüber weniger gut informierten Kandidaten verwendet wurden.
96 'LDORJ]XU*HQGLDJQRVWLN Der Ausschuss «Dialog zur Gendiagnostik - Laien und Fachleute im Gespräch», der sich aus 17 Organisationen und Unternehmen im Genbereich zusam- mensetzt, finanzierte und organisierte die Diskussion mit dem Ziel, die Problematik an die Öffentlichkeit zu tragen und eine Debatte dazu zu eröffnen. Die Diskussion fand im September und Oktober 1998 statt. Wir beteiligten uns am Diskussionsteil über die Behandlung von erhobenen biologischen Daten und Proben, die Voraussetzungen der Lagerung und der Aufbewahrungsdauer. Unsere Gesprächspartner zeigten sich besorgt über die künftigen technischen und gesetzlichen Entwicklungen. Ausserdem beschäftigten sie sich mit den Fragen der Verständlichkeit und Zugänglichkeit der Information sowie mit der Verantwortung für die Informationsqualität. Unsere Gesprächspartner vertraten wie wir die Meinung, dass Daten und Proben als untrennbares Ganzes betrachtet werden und denselben Datenschutz- und Datensicherheitskriterien unterworfen werden müssten. Ausserdem bestätigte der Dialog die Relevanz des Prinzips der öffentlichen Auseinandersetzung, das die Konvention von Oviedo, welche die Schweiz demnächst ratifizieren dürfte (Übereinkommen des Europarates über Menschenrechte und Biomedizin), verankert. Die Teilnehmer bestärkten uns zudem in unserer Überzeugung, dass die Bürger informiert werden müssen und dass diese Information eine unserer vorrangigen Aufgaben bleiben soll. ([SHUWHQNRPPLVVLRQ'1$3URILO'DWHQEDQN (QGHKDWGDV(LGJHQ|VVLVFKH-XVWL]XQG3ROL]HLGHSDUWHPHQWHLQH([SHUWHQ NRPPLVVLRQ'1$3URILO'DWHQEDQNHLQJHVHW]W'LHVHVROOWHGLH)UDJHSUÅIHQREHLQH JHVDPWVFKZHL]HULVFKH'DWHQEDQNPLW'1$3URILOHQ]XHUULFKWHQLVW Am 25. November 1997 hat das Eidgenössische Justiz- und Polizeidepartement die Einsetzung einer Expertenkommission für die Errichtung einer gesamt- schweizerischen DNA-Profil-Datenbank verfügt. Diese Expertenkommission sollte prüfen, ob es verantwortbar und zweckmässig ist, zur Unterstützung der Strafverfolgung eine gesamtschweizerische DNA-Profil-Datenbank zu errichten. Die Expertenkommission setzte sich aus Vertretern und Vertreterinnen kantonaler Strafjustiz- und Polizeibehörden, kantonaler Universitäten, des Bundesamtes für Polizeiwesen, des Bundesamtes für Justiz und des Eidgenössischen Datenschutzbeauftragten zusammen. Die Experten- kommission hatte bis Dezember 1998 einen Schlussbericht zuhanden des Bundesrates zu verfassen. Das bedeutet, dass von der konstituierenden Sitzung Mitte Januar 1998 der Expertenkommission gerade 10 Monate zur Verfügung
97 standen, sich in die sehr schwierige und komplexe Materie der DNA-Profile einzuarbeiten und diese zu verstehen, sämtliche, sich im Zusammenhang mit der Errichtung und Betreibung einer gesamtschweizerischen Datenbank stellenden wesentlichen Aspekte zu beurteilen sowie den Schlussbericht auszuarbeiten. Aufgrund dieses sehr knappen Zeitrahmens konnte die Expertenkommission keine detaillierten Aussagen über den Inhalt der Rechtsgrundlagen machen, die für die Errichtung und den Betrieb der DNA-Profil-Datenbank erforderlich sind. Aus Sicht des Datenschutzes ist die sich stellende Problematik äusserst heikel. Hinsichtlich der Problemstellungen ist eine sehr differenzierte Analyse und Beurteilung der Abläufe erforderlich, die bis zur Speicherung eines DNA- Profils in einer Datenbank erforderlich sind. Gehen wir von dem Vorliegen eines Tötungs- oder Sexualdeliktes aus. Am Tatort finden die ermittelnden Beamten Blut, Haare, Spermien, Spucke, Haut. Einem oder mehreren Verdächtigen wird ein Mundschleimhautabstrich abgenommen. Aus diesem sogenannten biologischen Material wird von einem Labor als Ergebnis einer Analyse das DNA-Profil erstellt. Bei dem DNA-Profil handelt es sich um eine Buchstaben-Zahlenkombination, bestehend aus zwei Buchstaben (XY für männlich oder XX für weiblich) und 26 Zahlen. Diese Buchstaben-Zahlenkombination wird aus dem nicht-codierenden Teil der DNA gewonnen. Der nicht-codierende Teil der DNA gibt nach dem heutigen Stand der Wissenschaft keine Auskunft über körperliche, geistige, gesundheitliche Veranlagungen des betreffenden Menschen. Vielmehr kann es zum jetzigen Zeitpunkt ausschliesslich dazu herangezogen werden, das biologische Material einer bestimmten Person zuzuordnen. Nach Analyse des biologischen Materials durch das Labor soll nur dieses DNA-Profil in der DNA-Profil-Datenbank gespeichert werden. Solange das DNA-Profil ausschliesslich zu dem Zweck verwendet und in einer Datenbank gespeichert wird, Tatortspuren einer bestimmten oder bestimmbaren Person zuzuordnen bzw. tatverdächtige Personen als Täter zu identifizieren oder zu entlasten, kann das DNA-Profil mit den Fingerabdrücken als Identifizierungsmittel verglichen werden. Damit bestehen für eine DNA-Profil-Datenbank grundsätzlich dieselben Risiken und Gefahren wie für jede andere Datenbank, in der besonders schützenswerte Personendaten gespeichert werden. Bei jeder Datenbank, in der Daten von Menschen eingegeben und bearbeitet werden, die mit anderen Datenbanken verbunden ist und ein Datenaustausch zwischen anderen Datenbanken erfolgt, besteht die Möglichkeit von Missbräuchen. Denkbar ist hierbei etwa an unrecht- mässige Löschung oder Änderung der gespeicherten Daten, unrechtmässige Eingabe von neuen Daten, unrechtmässige Weitergabe an Dritte, das unrecht- mässige Überwachen oder Abhören von elektronischen Datenübermittlungen. Es darf bei der gesamten Problematik jedoch nicht ausser Acht gelassen werden, dass im Gegensatz zur Erhebung der Fingerabdrücke für die Erstellung des DNA-Profils das biologische Material erhoben, analysiert und aufbewahrt wird. Aus dem von den ermittelnden Beamten gefundenen oder bei tatverdächtigen Personen erhobenen biologischen Material können jedoch weit mehr
98 Informationen über die betreffende Person herausgelesen werden als das sogenannte DNA-Profil. Das biologische Material gibt bei entsprechender Analyse Auskunft über körperliche, geistige, gesundheitliche etc. Anlagen der betreffenden Person. Daraus ergibt sich, dass das grosse ethische und rechtliche Problem nicht so sehr die DNA-Profil-Datenbank an sich ist. Die massiven Probleme liegen zum Einen in der Beschaffung (Fund am Tatort, Mundschleim- hautabstrich beim Tatverdächtigen) und Bearbeitung (Analyse, Aufbewahrung). Zum Anderen tun sich aufgrund der Verknüpfbarkeit der in einer DNA-Profil- Datenbank gespeicherten Daten mit dem dem Profil zugrundeliegenden biologischen Material weitergehende Missbrauchsmöglichkeiten auf. Zu denken ist hierbei an unrechtmässige Weitergaben und Änderungen der sich aus dem biologischen Material sowie der in der DNA-Profil-Datenbank weiter erge- benden Informationen über Personen. Nicht nur hinsichtlich der Risiken und Gefahren ist zwischen der Beschaffung, Analyse und Aufbewahrung des biologischen Materials einerseits und der Bearbeitung des DNA-Profils in einer DNA-Profil-Datenbank andererseits zu unterscheiden. Vielmehr ist auch bezüglich der erforderlichen Rechts- grundlagen diesbezüglich zu differenzieren. Die Beschaffung, Analyse und Aufbewahrung des biologischen Materials fällt in die Kompetenzen der Kantone. Das bedeutet, dass man sich die Frage zu stellen hat, ob auf Kantons- ebene hinreichende Rechtsgrundlagen bestehen oder allenfalls zu schaffen sind, die diese Bearbeitungen des biologischen Materials erlauben. Des Weiteren stellt sich jedoch die Frage, ob nicht aus Art. 24 novies Bundesverfassung die Kompetenz des Bundes abgeleitet werden könnte, die Bedingungen für die Erhebung und die Aufbewahrung des biologischen Materials durch die Kantone auf Bundesebene zu regeln. Soll auf Bundesebene eine DNA-Profil-Datenbank errichtet und betrieben werden, gelten für die Schaffung der erforderlichen Rechtsgrundlage folgende Überlegungen: Die Buchstaben-Ziffernkombination des DNA-Profils ist an sich nicht als Personendatum im Sinne des DSG zu qualifizieren, sofern durch diese Kombination die Person, von der dieses DNA-Profil stammt, nicht bestimmt oder nicht bestimmbar ist. Bereits durch den Fund des biologischen Materials, aus dem das Profil gewonnen wird, an einem Ort, der zumindest mit an Sicherheit grenzender Wahrscheinlichkeit nur von einer bestimmten bzw. bestimmbaren Person benutzt wird, wird jedoch das DNA-Profil zu einem Personendatum. Die Bestimmbarkeit und damit die Qualifizierung der Angaben als Personendaten ist erst recht gegeben, wenn das DNA-Profil mit einer Prozesskontrollnummer (3rocess &ontroll 1umber=PCN) in einer Datenbank, dieselbe PCN mit dazugehörigen Angaben über die Person wie Name, Aliasname, Vorname etc. in einer anderen Datenbank gespeichert werden. Über die identische PCN in beiden Datenbanken ist das DNA-Profil zu einer Person zuordenbar. Da über die PCN die Person, zu der das DNA-Profil gehört, zumindest bestimmbar ist, wird somit das DNA-Profil zu einem Personendatum.
99 Werden in eine DNA-Profil-Datenbank die DNA-Profile von Personen als möglicher Täterschaft oder Opfern einer Straftat gespeichert, so sind diese in der Datenbank gespeicherten Personendaten als besonders schützenswert im Sinne des DSG zu qualifizieren. Dies kann auch für DNA-Profile von vermissten Personen angenommen werden, solange die Möglichkeit besteht, dass die Person Opfer oder Täter einer Straftat sein kann und diesbezüglich polizeiliche Ermittlungen laufen. Auch die DNA-Profile von Tatortspuren wird man als besonders schützenswerte Personendaten im Sinne des DSG betrachten müssen, da die Möglichkeit besteht, sie irgendwann einer bestimmten oder bestimmbaren Person zu zuordnen. Aus diesen Gründen ist im Falle einer zentralen eidgenössischen DNA-Profil-Datenbank für deren Errichtung und Betreibung die Schaffung eine formalgesetzliche Rechtsgrundlage erforderlich. Soll für eine zeitlich begrenzte Übergangszeit bis zur Schaffung dieser formal- gesetzlichen Rechtsgrundlage eine Regelung auf Verordnungsebene gestützt auf Art. 351 septies Schweizerisches Strafgesetzbuch aus politischen Gründen als ausreichend erachtet werden, muss darauf hingewiesen werden, dass mit Regelung auf Verordnungsebene der demokratische Prozess, der bei einem Bundesgesetz abläuft, umgangen wird. Gemäss der Convention d’Oviedo (siehe dazu auch Thema 9.1. Vorprojekt des Bundesgesetzes über genetische Unter- suchungen beim Menschen) hat zumindest eine Diskussion in der Bevölkerung stattzufinden. Über die Voraussetzungen, unter denen DNA-Profile in eine DNA-Profil- Datenbank aufgenommen werden dürfen, haben die kantonalen Datenschutz- beauftragten und der Eidgenössische Datenschutzbeauftragte in einer Resolution Stellung genommen (vgl. dazu S. 159).
100 .UHGLWZHVHQ bQGHUXQJGHV%XQGHVJHVHW]HVÅEHUGHQ.RQVXPNUHGLW 0LWGHU6FKDIIXQJHLQHU]HQWUDOHQ'DWHQEDQNLP.RQVXPNUHGLWEHUHLFKZLUGHLQHJURVVH $Q]DKOYRQ3HUVRQHQGDWHQEHDUEHLWHWZHUGHQ,P9RUHQWZXUI]XUbQGHUXQJGHV %XQGHVJHVHW]HVÅEHUGHQ.RQVXPNUHGLWZDUYRUJHVHKHQGLH%HDUEHLWXQJGHU3HUVRQHQ GDWHQ LQ 6WDWXWHQ RGHU YRP %XQGHVUDWUHJHOQ ]X ODVVHQ $XV UÅQGHQ GHV 3HUV|QOLFKNHLWVVFKXW]HVGHU7UDQVSDUHQ]XQGGHU5HFKWVVLFKHUKHLWHUDFKWHQZLUHVDOV XQHUOlVVOLFKGLHHLQVFKOlJLJHQ%HVWLPPXQJHQIÅUGLH%HDUEHLWXQJGHU3HUVRQHQGDWHQLQ HLQHUJHVHW]OLFKHQUXQGODJH]XYHUDQNHUQ6WDWXWHQJHQÅJHQIÅUGLH%HDUEHLWXQJYRQ 3HUVRQHQGDWHQQLFKW'LHVNlPHSUDNWLVFKHLQHU©%ODQNR9ROOPDFKW™JOHLFK(LQHP VROFKHQ9RUJHKHQN|QQWHQZLUDOV$XIVLFKWVEHK|UGHQLFKW]XVWLPPHQ Mit der Schaffung einer einzigen Datenbank im Konsumkreditbereich wird eine grosse Anzahl von Personendaten zentral bearbeitet werden. Einerseits sind damit verschiedene Vorteile der Rationalisierung und Aktualisierung verbunden. Andererseits hat der Inhaber der Datenbank einen erheblichen Einfluss und trägt eine entsprechende Verantwortung für eine datenschutz- konforme Bearbeitung. Die vorgesehene Informationsstelle für Konsumkredit ist eine mit öffentlichen Aufgaben des Bundes betraute Stelle, welche der Aufsicht des Eidgenössischen Datenschutzbeauftragten (EDSB) unterstehen wird (Art. 15a Abs. 3 Entwurf zur Änderung des Bundesgesetzes über den Konsumkredit). Anlässlich der Ämterkonsultation legten wir die Anforderungen an den Datenschutz dar, welche jedoch dem Bundesrat nicht zur Kenntnis gebracht wurden. Gegenstand unserer Bedenken bildeten die vorgesehenen Statuten, welche die Bearbeitung der Personendaten regeln sollen (Art. 15a und 15b Vorentwurf zur Änderung des Bundesgesetzes über den Konsumkredit). Unsere Erfahrung mit Statuten im privaten Bereich hat gezeigt, dass die betroffenen Personen so nicht hinreichend informiert werden. Im Weiteren sind die Betroffenen oft erstaunt oder schockiert, wenn ihre Daten nach mehreren Jahren nicht gelöscht werden. Wir werden - vor allem was die Beschaffung, Bekanntgabe an Dritte und Löschung der Daten anbelangt - regelmässig von Betroffenen angefragt und zum Teil um Intervention ersucht. Durch klare gesetzliche Bestimmungen, die für alle Bürger einfach zugänglich wären, könnten derartige Unsicherheiten ausgeräumt werden. Gemäss Art. 15a Abs. 2 Vorentwurf zur Änderung des Bundesgesetzes über den Konsumkredit erlässt der Bundesrat die nötigen Vorschriften, falls keine Statuten geschaffen werden. Im Gesetzesentwurf nicht definiert ist, ob neben
101 Personendaten wie Name und Adresse auch besonders schützenswerte Personendaten wie z.B. Massnahmen der sozialen Hilfe bearbeitet werden. Die Bearbeitung besonders schützenswerter Personendaten müsste indes in einem formellen Gesetz und nicht in einer Verordnung geregelt werden (Art. 17 Abs. 2 DSG). Gesetzlich geregelt werden müssten unter anderem: welche Daten zu welchen Zwecken bearbeitet werden, an wen sie bekanntgegeben werden, wer verantwortlicher Inhaber der Datenbank ist (was bei einem Verein mit vielen Mitgliedern zu unbefriedigenden Lösungen führen kann), wie lange bestimmte Daten aufbewahrt werden sowie welche technischen und organisatorischen Massnahmen die Datensicherheit gewährleisten (für die Anforderungen an einer gesetzlichen Grundlage vergleiche 5. Tätigkeitsbericht S. 39ff. und auch vorliegenden Bericht, S. 134) Aus datenschutzrechtlicher Sicht stellt die alternative Aufzählung der Erarbeitung von Statuten oder einer bundesrätlichen Verordnung keine befriedigende Lösung dar. Denn die Statuten würden nur vom Eidg. Justiz- und Polizeidepartement genehmigt (Art. 15a Abs. 2 Vorentwurf Bundesgesetz über den Konsumkredit) und müssten damit die Anforderungen an eine gesetzliche Grundlage nicht erfüllen. Nicht geregelt wird zudem die Datenbekanntgabe von der Informationsstelle an die Kreditgeberinnen. Falls es sich um ein Abrufverfahren (on-line) handelt, müsste dies mindestens in der Verordnung festgelegt werden. Bei der Bearbeitung von besonders schützenswerten Personendaten via Abrufverfahren wäre auch hier ein Passus in der formellgesetzlichen Grundlage nötig. In der Folge informierten wir die parlamentarische Kommission für Wirtschaft und Abgaben über die Datenschutzprobleme im Zusammenhang mit der Informationsstelle für Konsumkredit. 'DWHQDEJOHLFKEHL.UHGLWÅEHUSUÅIXQJHQ 8QWHUQHKPHQGLHLP9HUVDQGKDQGHOWlWLJVLQGSUÅIHQLQGHU5HJHOGLH.UHGLW ZÅUGLJNHLWSRWHQWLHOOHU.XQGHQ(QWVFKHLGHQGLVWGDEHLZLHGLHILQDQ]LHOOH6LWXDWLRQGHU 9HUWUDJVSDUWQHUÅEHUSUÅIWZLUG'DWHQGÅUIHQ]XU3UÅIXQJGHU.UHGLWZÅUGLJNHLWLP =XVDPPHQKDQJPLWHLQHP9HUWUDJVDEVFKOXVVQXUEHLP,QKDEHUGHU'DWHQVDPPOXQJ HLQ]HOIDOOZHLVHDEJHIUDJWRGHUDEJHJOLFKHQ ZHUGHQ %RQLWlWVDGUHVVHQ GÅUIHQ QLFKW SDXVFKDODXI'DWHQWUlJHUQEHNDQQWJHJHEHQZHUGHQVRIHUQNHLQHWHFKQLVFKHQ0LWWHOIÅU HLQHQGDWHQVFKXW]NRQIRUPHQ$EJOHLFKEHVWHKHQ Wir erhielten einen Hinweis, dass die Wirtschaftsauskunftei X Personendaten in einer nicht datenschutzkonformen Weise bearbeiten soll. Wie sich herausstellte, verpflichten sich Kunden der Inkassostelle Y sämtliche Inkassofälle zur
102 Bearbeitung zu übergeben. Die Daten von Schuldnern, gegen die Y ein Betreibungs- oder Konkursverfahren eröffnet hat oder Verlustscheine vorhanden sind, werden sodann der X bekanntgegeben. X gibt im Gegenzug bestimmten Kunden zur Prüfung der Kreditwürdigkeit ihrer Kundschaft regel- mässig die aktuellsten Bonitätsadressen pauschal auf Datenträgern bekannt, die mit Bestelladressen von Neukunden batchmässig abgeglichen werden. Der Abgleich bezieht sich auf Name, Vorname, Adresse, PLZ und Ort. Bei genauer Übereinstimmung von Bestell- und Datenbankkriterien werden die entsprechenden Negativdaten ausgedruckt. Der Kunde verpflichtet sich vertraglich, die von X gelieferten Bonitätsadressen ausschliesslich für den eigenen, internen Gebrauch zu nutzen und keine Informationen an Dritte weiter- zugeben oder zu verkaufen. Von X sind notariell beglaubigte Kontrolladressen eingebaut worden, um missbräuchlicher Verwendung vorzubeugen. Sollte trotzdem Missbrauch festgestellt werden, können diese Adressen als Beweis- mittel bei einer allfälligen Untersuchung eingesetzt werden. Da der Datenabgleich nicht bei X als Inhaberin der Datensammlung erfolgt, sondern einer bestimmten Anzahl von Daten den Kunden bekanntgegeben werden, sind diese Bearbeitungsmethoden geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Der Eidgenössische Datenschutz- beauftragte verlangte mit folgender Begründung eine Änderung der Bearbeitung und erliess eine Empfehlung (zum vollständigen Empfehlungstext vgl. S. 184): Es ist unbestritten, dass aus wirtschaftlicher Sicht ein Interesse an Informationen zur Überprüfung der finanziellen Situation der Vertragspartner besteht. Der Gesetzgeber hat diesem Bedürfnis im DSG auch Rechnung getragen, unter der Voraussetzung dass keine widerrechtliche Persönlichkeits- verletzung begangen wird und die allgemeinen Datenschutzgrundsätze eingehalten werden. Der allgemeine Grundsatz der Verhältnismässigkeit verlangt insbesondere, dass zwar soviele Daten wie nötig, gleichzeitig so wenige wie möglich, bearbeitet werden. Die regelmässige Bekanntgabe des ganzen aktuellen Datenbestandes auf Datenträgern zwecks Datenabgleich und ohne technische Sicherung ist nicht verhältnismässig, ausser es liege ein Recht- fertigungsgrund vor. Als Rechtfertigungsgrund kommt die Prüfung der Kreditwürdigkeit einer anderen Person im Rahmen von Art. 13 Abs. 2 lit. c DSG in Frage. Danach dürfen weder besonders schützenswerte Personendaten noch Persönlichkeits- profile bearbeitet werden und Dritten nur Daten bekanntgegeben werden, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen. Die Bonitätsadressen werden jedoch nicht direkt bei X über- prüft, sondern den Kunden entgeltlich und pauschal auf Datenträgern zum Datenabgleich zur Verfügung gestellt. Dabei könnten die Datenträger nicht nur mit konkreten Kundennamen abgeglichen werden, sondern mit irgendwelchen Namen. Angesichts dieser Tatsache liegt eine Ausweitung des Bearbeitungs- zweckes vor, die bereits in den Vorarbeiten zum DSG umstritten war. Nach ausgiebigen Diskussionen im Stände- und Nationalrat wurde diese Ausdehnung
103 indessen abgelehnt. Die Bekanntgabe eines ganzen Datensegmentes auf einem Datenträger zwecks Datenabgleich stellt somit eine Bekanntgabe dar, welche den Umfang der effektiv benötigten Daten bei Weitem übersteigt. Der Gesetz- geber hat in Art. 13 Abs. 2 lit. c DSG ausdrücklich vorgesehen, dass Dritten nur Daten bekanntgegeben werden dürfen, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen und nicht mehr. Daran ändert weder der Datenabgleich, noch die vertragliche Verpflichtung, die Daten ausschliesslich für den eigenen, internen Gebrauch zu nutzen, etwas. Vor diesem Hintergrund liegt eine Datenbekanntgabe vor, die von keinem Rechtfertigungsgrund legitimiert wird. Wie der EDSB bereits 1994 in einer Empfehlung festgehalten hat, ist das globale, systematische Versenden von Kreditwarnlisten/Negativdaten mit Name, Adresse und Angaben über die finanzielle Situation evt. Schuld- betreibungs- und Konkursdaten potentieller Kunden zu unterlassen. Auskünfte sind nur einzelfallweise und auf Anfrage beim Inhaber der Datensammlung zu erteilen (siehe dazu Tätigkeitsbericht 1994/95, S. 244 ff). Unternehmen, die die Kreditwürdigkeit einer sehr grossen Anzahl von Personen zu prüfen haben, werden bei der Einzelabfrage mit einem erheblichen Aufwand konfrontiert. Deshalb müssen Lösungen gesucht werden, welche praktikabel sind und eine datenschutzkonforme Prüfung ermöglichen. Der zusätzliche Aufwand, welcher X aus einem Datenabgleich erwachsen würde, ist der Kontrollmöglichkeit allfälliger weiterer widerrechtlicher Bearbeitungen der Daten durch die Kunden der X gegenüberzustellen. Der Aufwand für den Datenabgleich von maximal neun Kunden pro Monat dürfte keinen erheblichen Zeitaufwand verursachen. Dieser Mehraufwand ist gegenüber der Gefahr einer möglichen widerrechtlichen und nicht kontrollierbaren Weiterbearbeitung durch Kunden von X geradezu vernachläs- sigbar. Nach dem heutigen Stand der Technik ist es jederzeit möglich einen Datenträger mit anderen Datensammlungen (z.B. elektronisches Telefon- verzeichnis) abzugleichen, und Kopien aller vorhandenen Daten zu erstellen, welche anderweitig verwendet werden können. Diesen Umstand vermögen weder vertragliche Verpflichtungen noch notariell beglaubigte Kontrolladressen hinreichend zu verhindern. Zudem könnte ein entsprechender Missbrauch ohne Kontrolle nur schwierig überprüft werden. Damit die Erteilung von Kreditauskünften im Einklang mit Art. 13 Abs. 2 lit. c DSG stehen, müssten Datenabgleiche beim Inhaber der Datensammlung statt- finden. Voraussetzung bei diesem Vorgehen ist, dass X keine neuen Adressen speichert, die Daten nicht anderweitig verwendet und der Kunde lediglich diejenigen Kunden auf Kreditwürdigkeit überprüfen lässt, mit welchen er einen Vertrag abschliessen will.
104 (LQZLOOLJXQJVNODXVHOEHL.UHGLWNDUWHQ 6HLW OlQJHUHP IRUGHUQ ZLU (LQZLOOLJXQJVNODXVHOQ WUDQVSDUHQW ]X JHVWDOWHQ 'LH EHWURIIHQHQ3HUVRQHQPÅVVHQZLVVHQDQZHQLKUH'DWHQEHNDQQWJHJHEHQZHUGHQ0LW 9HUWUHWHUQ GHU .UHGLWNDUWHQEUDQFKH HLQLJWHQ ZLU XQV DXI HLQH HLQKHLWOLFKH )RUPXOLHUXQJ 1LFKW GDWHQVFKXW]NRQIRUP VLQG KLQJHJHQ .DUWHQDQWUlJH RKQH $OOJHPHLQH*HVFKlIWVEHGLQJXQJHQZHOFKHXQWHUDQGHUHPLQGHU3UHVVHDQJHERWHQ ZHUGHQ'HU.XQGHKDWEHLGHU8QWHU]HLFKQXQJNHLQH0|JOLFKNHLWGLH$OOJHPHLQHQ *HVFKlIWVEHGLQJXQJHQ]XOHVHQ=XGHPZLUGHULQGHU(LQZLOOLJXQJVNODXVHOQLFKW KLQUHLFKHQGÅEHUGLHEHYRUVWHKHQGH%HDUEHLWXQJLQIRUPLHUW Da die wenigsten Inhaber und Inhaberinnen von Kreditkarten wissen, wie die Bearbeitung ihrer Daten effektiv erfolgt und in welche Bekanntgaben sie einwilligen, sprechen wir uns seit längerer Zeit für eine umfassende Transparenz bei Einwilligungsklauseln in Kreditkarten-Anträgen und Allgemeinen Geschäftsbedingungen (AGB) aus. Wie wir festgestellt haben, wurden regelmässig in Zeitungs- und Zeitschriften- inseraten Kredit-Kartenanträge mit sehr dürftigen Einwilligungsklauseln ohne AGB angeboten. Die Texte der Antrags-Klauseln waren äusserst knapp und zu generell formuliert. Beispielsweise mussten die Antragsteller die AGB akzeptieren und ihre Einwilligung in das Bearbeiten geben, ohne die AGB vorher gesehen zu haben. Daher machten wir die betroffenen Firmen mehrmals darauf aufmerksam, dass eine solche Einwilligung nichtig sei. Aufgrund regel- mässiger Anfragen von privaten Personen, die zufällig erfahren haben, dass sie in der Datenbank der ZEK registriert sind, ist es uns ein Anliegen, dass die Inhaber von Kreditkarten wissen, wem ihre Daten bekanntgegeben werden. Eine zentrale Rolle spielt dabei der Verein zur Führung einer Zentralstelle für Kreditinformation, der von den Banken beispielsweise Angaben über abgelehnte Kreditgesuche, abgelehnte Kartenanträge, gesperrte Bankkarten, laufende Inkassomassnahmen gegen Karteninhaber und Verlustscheine gegen Karteninhaber erhält und während mehreren Monaten oder Jahren aufbewahrt. Der Verein besteht aus beinahe 100 Mitgliedern (Unternehmen), welche zur Prüfung der Kreditwürdigkeit beim Antrag neuer Karten diese Daten abfragen können. Das Argument, für vier bis fünf erläuternde Zeilen sei zu wenig Platz auf dem Antragsformular vorhanden, erachteten wir als haltlos, wenn im Vergleich dazu ein A4 Seite-Faltblatt der Werbung gewidmet wird. Schliesslich einigten wir uns mit Vertretern der Interessengemeinschaft der Zahlkartenindustrie auf folgende Formulierung, die entweder im Kreditkarten-Antrag oder in den Allgemeinen Geschäftsbedingungen stehen muss:
105 «Hiermit bestätige ich (der Antragsteller/die Antragstellerin) die Richtigkeit vorstehender Angaben und ermächtige die Firma XYZ, sämtliche für die Prüfung dieses Antrages sowie für die Abwicklung des Vertrages erforderlichen Auskünfte bei öffentlichen Ämtern, meinem Arbeitgeber, meiner Bank und der Zentralstelle für Kreditinformationen (ZEK) einzuholen sowie der ZEK im Falle von gesperrten Karten, bei qualifiziertem Zahlungsrückstand oder bei miss- bräuchlicher Kartenverwendung Meldung zu erstatten.» Ferner regten wir an, die Einwilligungsklausel sei drucktechnisch hervorzuheben und beispielsweise am Ende des Antragsformulares zu platzieren. Zusätzlich verlangten wir in den AGB einen Hinweis über die Bearbeitung von Kreditkartendaten im Auftrag und allenfalls über die Daten- übermittlung ins Ausland. Das Argument, die Bearbeitung im Auftrag sei im Gesetz geregelt und es bedürfe daher keiner weiteren Orientierung der Kunden, können wir nicht teilen. Seitens der Interessengemeinschaft der Kartenvertreter wird nun geprüft, ob eine einheitliche Lösung erzielt werden kann. Insbesondere betrifft dies die einheitliche Gestaltung der Anträge, die druck- technische Hervorhebung der Einwilligungsklausel sowie den Verzicht auf Anträge in Zeitschrifteninseraten ohne AGB. ©(QWJHOWOLFKHV™$XVNXQIWVUHFKWEHL.UHGLWYHUWUlJHQ (LQ*HVXFKXP$XVNXQIWVHUWHLOXQJLVWJUXQGVlW]OLFKNRVWHQORV$XVQDKPHQZHUGHQ OHGLJOLFKJHPDFKWVRIHUQGLH$XVNXQIWLQQHUWHLQHP-DKUEHUHLWVHUWHLOWZXUGHXQGNHLQ VFKXW]ZÅUGLJHV,QWHUHVVHDQHLQHUQHXHQ$XVNXQIWVHUWHLOXQJJHOWHQGJHPDFKWZHUGHQ NDQQRGHUZHQQGLH $XVNXQIWVHUWHLOXQJ PLW HLQHP EHVRQGHUV JURVVHQ $XIZDQG YHUEXQGHQ LVW 9HUWUDJOLFK YHUHLQEDUWH *HEÅKUHQUHJHOXQJHQ KDEHQ GDQQ NHLQH %HGHXWXQJZHQQVLHJHJHQGLH'DWHQVFKXW]JHVHW]JHEXQJYHUVWRVVHQ Ein Verein zur Schuldensanierung fragte uns, ob es rechtens sei, wenn eine Bank Auskunftsgesuche nach Art. 8 DSG nicht kostenlos beantworten würde. Die Bank habe sich auf den Standpunkt gestellt, Kontoauszüge aus Darlehens- und Kreditverträgen seien keine Personendaten im Sinne des DSG. In den Allgemeinen Vertragsbedingungen sei vereinbart, nur gegen Bezahlung von Fr. 15.- pro Auszug würden die Daten geliefert. Aus datenschutzrechtlicher Sicht ist festzuhalten, dass das Auskunftsrecht grundsätzlich kostenlos erfolgt. Eine angemessene Beteiligung wird ausnahms- weise verlangt, wenn der antragstellenden Person in den zwölf Monaten vor dem Gesuch die gewünschten Auskünfte bereits mitgeteilt wurden und kein
106 schutzwürdiges Interesse an einer neuen Auskunftserteilung nachgewiesen werden kann, oder die Auskunftserteilung mit einem besonders grossen Arbeits- aufwand verbunden ist. Seitens der Bank wurde argumentiert, bei Konto- auszügen handle es sich um buchhalterische Daten, welche gemäss Vertrag lediglich gegen Bezahlung von Fr. 15.- pro Auszug geliefert werden würden. Die Gebühren wurden mit einem erheblichen administrativen Aufwand begründet, der mit der Bekanntgabe von Daten über mehrere Monate verbunden sei. Der Umstand, dass die in den Kreditverträgen vorgesehene Gebühr von Fr. 15.- von der kantonalen Aufsicht Konsumkreditgeschäft des Kantons genehmigt wurde, ändert an der kostenlosen Auskunftspflicht von Art. 8 DSG nichts. Falls die Auskunft innert Jahresfrist nicht bereits erteilt wurde, rechtfertigt sich die Belastung einer Gebühr höchstens aufgrund des erheblichen administrativen Aufwandes, der aus ratenweise rückzahlbaren Krediten resultiert. $XI]HLFKQXQJYRQ7HOHIRQJHVSUlFKHQGXUFK%DQNHQ $XIJUXQGHLQHU5HYLVLRQGHV6WUDIJHVHW]EXFKHVLVWQXUQRFKGLH$XI]HLFKQXQJYRQ 1RWUXIHQIÅU+LOIV5HWWXQJVXQG6LFKHUKHLWVGLHQVWHRKQH(LQZLOOLJXQJGHU%HWURIIHQHQ QLFKWVWUDIEDU'LH$XI]HLFKQXQJYRQ7HOHIRQJHVSUlFKHQLPSULYDWHQ%HUHLFKLVWQXU HUODXEW ZHQQ DOOH %HWHLOLJWHQ GDUÅEHU LQIRUPLHUW ZXUGHQ EH]LHKXQJVZHLVH LKUH (LQZLOOLJXQJGD]XHUWHLOWHQ%HVRQGHUVEHLJURVVHQ8QWHUQHKPHQZLUGLQGHU5HJHOGLH (LQZLOOLJXQJGXUFK5XQGVFKUHLEHQHLQJHKROW'LH$XI]HLFKQXQJHUIROJW]X=ZHFNHQGHU %HZHLVVLFKHUXQJDXFKLP,QWHUHVVHGHV.XQGHQ Von verschiedenen privaten Personen wurden wir angefragt, ob die Auf- zeichnung von Telefongesprächen bei Banken per 1.1.1998 rechtmässig sei. Durch die Revision von Artikel 179 quinquies Strafgesetzbuch macht sich seit dem
107 Beweissicherung, und die Kunden werden in Rundschreiben über diese Bearbeitung der Daten informiert. Neue Kunden werden informiert, wenn sie mit den vorgenannten Bereichen in Kontakt treten. Ausserdem wird bei Emissionsprospekten und Produkte-Informationsschreiben mit Telefonnummern auf eine allfällige Aufzeichnung hingewiesen. Aufgrund dieser Informationen steht die Aufzeichnung von Telefongesprächen im Einklang mit den datenschutzrechtlichen Bestimmungen. 9HU|IIHQWOLFKXQJ YRQ ©VFKZDU]HQ /LVWHQ™ LP ,QWHUQHW RGHU LP 6FKDXIHQVWHU OlXELJHUZROOHQLKUH6FKXOGQHULPPHU|IWHUDQGHQ3UDQJHUVWHOOHQ,PHJHQVDW]]XP 0LWWHODOWHUZLUGGHU3UDQJHUGXUFKGDV,QWHUQHWRGHUHLQH3XEOLNDWLRQLP6FKDXIHQVWHU HUVHW]W$XVGDWHQVFKXW]UHFKWOLFKHU6LFKWEHGDUIHVIÅUGLH9HU|IIHQWOLFKXQJGHU1DPHQ YRQ6FKXOGQHUQHLQHV5HFKWIHUWLJXQJVJUXQGHVGHULQGHU5HJHOQLFKWJHJHEHQLVW'LH EHWURIIHQHQ3HUVRQHQN|QQHQ]XGHPEHLP,QKDEHUGHU'DWHQVDPPOXQJGLHVRIRUWLJH /|VFKXQJGHUVRYHU|IIHQWOLFKWHQ'DWHQYHUODQJHQRGHUVLFKDQGHQ5LFKWHUZHQGHQ Einer privaten Person wurde gedroht, wenn sie ihre ausstehende Forderung nicht begleiche, würden rechtliche Schritte gegen sie eingeleitet. Überdies werde ihr Name auf der Homepage im Internet veröffentlicht werden. Die betroffene Person wandte sich an uns und wollte wissen, ob dies legal sei. Wir orientierten den Gläubiger dahingehend, dass die Veröffentlichung von Personendaten im Internet gegen das DSG verstosse, da er über keinen Recht- fertigungsgrund verfüge, der diese Bearbeitung rechtfertigen würde. Wir forderten ihn daher auf, sowohl die Drohung als auch die Publikation sofort einzustellen. Andernfalls bestehe die Möglichkeit, dass die betroffenen Personen eine Klage gemäss Art. 28 ZGB gegen ihn einreichen oder dass der EDSB eine Empfehlung erlassen würde. In der Folge wurden die Drohungen eingestellt und keine Namen mehr im Internet veröffentlicht. Wie wir der Presse entnahmen, veröffentlichte auch ein Ladeninhaber die Namen seiner Schuldner im Schaufenster. Er wollte auf diese Art und Weise erwirken, dass seine ausstehenden Forderungen schneller eingetrieben werden konnten. Als uns zudem eine betroffene Person über dieses Vorgehen orientierte, wiesen wir den Ladeninhaber auf das Fehlen eines Rechtfertigungs- grundes hin, der diese Bearbeitung legitimieren würde. Darauf sah der Laden- inhaber von der weiteren Veröffentlichung der säumigen Kunden ab.
108 :HUEXQJXQG'LUHNWPDUNHWLQJ 0HWKRGHQ]XU%HVFKDIIXQJYRQ3HUVRQHQGDWHQ.RQVXPHQWHQJHEHQ QDLY,QIRUPDWLRQHQÅEHULKUH3ULYDWVSKlUHSUHLV 9LHOHQ0HQVFKHQVFKHLQWHVJOHLFKJÅOWLJ]XVHLQZHUZDVÅEHUVLHZHLVV+DXVKDOWV XPIUDJHQYRQSULYDWHQ8QWHUQHKPHQZHUGHQEHGHQNHQORVDXVJHIÅOOW(LQ*UXQGGDIÅU LVWGDVVGHQPHLVWHQ.RQVXPHQWHQGLH6WUXNWXUXQGGDV$XVPDVVGHU0DUNHWLQJ EUDQFKHXQEHNDQQWLVW Versandhauskataloge, Reiseprospekte, Wettbewerbe, Verlosungen und eine Flut von Werbebriefen sind jeden Tag in den Briefkästen der meisten Haushalte zu finden. Manchmal werden Werbesendungen mit einem Brief folgenden Inhaltes begleitet: «Sehr geehrte/r Frau/Herr XY, wir möchten Sie persönlich dazu einladen, an unserer Verbraucherbefragung teilzunehmen. Als kleines Dankeschön für Ihre Bemühungen nehmen Sie an unserer Verlosung teil, bei der Sie eine Reise oder eine Stereoanlage gewinnen können». Am Schluss solcher Schreiben steht zumeist kleingedruckt und unauffällig: «Wir versichern Ihnen, dass Ihre Daten ausschliesslich für Marketingzwecke verwendet werden». Solche kleingedruckte Einwilligungsklauseln sind aufmerksam zu lesen. Wenn Zweifel über den Zweck der Bearbeitung der gesammelten Daten bestehen oder wenn der Bearbeitungszweck überhaupt nicht erwähnt wird, sollte man sich zuerst über den genauen Zweck der Erhebung dieser Daten informieren. Solche mit Wettbewerben gekoppelte Befragungen sind ein beliebtes Lockmittel für Datensammler. Wenn das Kleingedruckte nicht gelesen wird, oder wenn man sich hinsichtlich des Wertes der «verlockenden» Geschenke nicht selber hinterfragt, hat man schneller als man denkt schon sein Konsum- oder Persönlichkeitsprofil an die Datensammler geliefert. Heute füllen viele Menschen solche Fragebögen relativ bedenkenlos bzw. naiv aus, wobei es ihnen gleichgültig zu sein scheint, was mit ihren Daten geschieht. Wenn überhaupt, setzen die Bedenken erst viel zu spät ein, dann nämlich, wenn die erste Flut von persönlich adressierter, ungebetener Werbung eintrifft. Der Grund für dieses nachlässige Verhalten ist, dass die meisten Menschen die Datensammlerbranche nicht genügend kennen. Denn es ist oft nicht bekannt, dass private Haushaltsumfragen zumeist im Dienste von Wirtschafts- unternehmen stattfinden. Zudem nehmen verschiedenste Unternehmen am Geschäft mit Personendaten teil. Sogenannte Listbroker oder Direktmarketing- unternehmen vermitteln gegen Provision Versandlisten, die anhand der gesammelten Daten zusammengestellt werden. Diese Adresslisten werden für den Verkauf bestimmter Produkte oder Dienstleistungen erstellt. Geeignete Selektionskriterien dafür sind z. B. Alter, Geschlecht, Beruf, Kaufkraft.
109 Wer gerne und regelmässig über Versandhäuser einkauft, liefert dabei auch wertvolle Informationen über sein Kauf- und Zahlungsverhalten. Zusätzliche Informationen können aus verschiedenen öffentliche Quellen wie Handels- und Telefonregistern oder auch aus amtlichen Publikationen oder Zeitungsannoncen bezogen werden. Die Wettbewerbe liefern noch zusätzliche Informationen. Wer seine Personendaten nicht preisgeben will oder keine ungebetene Werbung im Briefkasten wünscht, muss bei solchen Haushaltsumfragen überlegen, ob sich die Teilnahme an den damit verbundenen Wettbewerben tatsächlich lohnt. Zudem empfehlen wir, bei Versandhausbestellungen systematisch einen Brief mit folgendem Inhalt beizulegen: «Meine Personendaten dürfen nicht für Werbezwecke oder für Markt- und Meinungsforschungen verwendet oder an Dritte weitergegeben werden». Die Frage aber, ob es sich lohnt, ein detailliertes Persönlichkeits- oder Konsumprofil im Rahmen eines Wettbewerbs preiszugeben, muss jede und jeder selber beantworten. Zu privaten Markt- und Meinungsumfragen, siehe auch das Merkblatt des EDSB S. 173 im Anhang. 9HUVDQGYRQXQHUZÅQVFKWHUHPDLO:HUEXQJ %HLGLHVHU)RUPYRQ:HUEXQJPXVVGLHHPDLO$GUHVVHGHV(PSIlQJHUVEHNDQQWVHLQ 'LHÅEOLFKVWHQ)RUPHQXPDQHPDLO$GUHVVHQ]XJHODQJHQVLQG9HUWHLOHUOLVWHQ 'LVNXVVLRQVJUXSSHQ VSH]LHOOH 1DYLJDWLRQVSURJUDPPH GLH %HDQWZRUWXQJ YRQ HPSIDQJHQHQHPDLOVVRZLHDXFKGHU9HUNDXIVROFKHU$GUHVVHQ Über die e-mail Adresse lässt sich eine Person im Internet leicht identifizieren und registrieren. Eine e-mail Adresse kann aber auch andere Informationen über den Absender beinhalten wie z. B. Name, Vorname, Arbeitsort oder Wohn- adresse. Mit Hilfe solcher Angaben über die Person und gegebenenfalls durch die Teilnahme der Betroffenen an Verteilerlisten oder verschiedenen Diskussionsgruppen können die Interessen einer Person festgestellt und so ein Persönlichkeitsprofil erstellt werden. Solche Angaben können von Dritt- personen ausgewertet und für andere Zwecke verwendet werden, beispielsweise für den Versand von Werbung. Bei konventionellen Postwerbesendungen ist die Sperrung der Adresse für Werbezwecke möglich (Robinsonliste oder Stern im Telefonbuch). Die Absender von Werbesendungen haben sich an den Wunsch einer Person, keine Werbung zu bekommen, zu halten. Anders präsentiert sich die Lage bei e-mail, d.h. bei elektronischer Post. Obwohl die Anschrift weltweit gültig ist, gibt es kein zentrales Adressverzeichnis, um gegebenenfalls die Adresse sperren zu
110 lassen. Somit wird es schwierig, sich von ungebetener elektronischer Post zu schützen. Abgesehen von der Belästigung durch Werbung hat die davon betroffene Person auch noch Telefongebühren dafür zu bezahlen. Um sich gegen solche ungebetene, mit Kosten verbundene, elektronische Post zu schützen sind geeignete technische Mittel einzusetzen. Einige Service Provider stellen Programme zur Verfügung, welche Filterfunktionen für das Sortieren der eingehenden e-mails enthalten. Damit kann man Bedingungen festlegen, unter denen Werbepost automatisch gelöscht wird. Leistungsfähige Filter werfen Werbesendungen selbständig in den Papierkorb. Ein Nachteil bleibt jedoch auch hier bestehen: Die unerwünschte Werbung wird erst als solche erkannt, nachdem sie von der eigenen Festplatte geholt wurde. Somit fallen die Telefonkosten trotzdem an. Auch das lässt sich vermeiden, wenn die Vorauswahl bereits auf dem Server (Knotenrechner) erfolgt. Die elektronische Post hat daher ihren «Preis». Denn es ist zeitraubend und schwierig, sich von dieser ungebetener Post zu schützen. Problematisch ist aber auch – abgesehen von unerwünschten Werbesendungen – der eigene Versand von e-mails. Meistens werden die e-mail Nachrichten unverschlüsselt versendet und können somit von Dritten einfach gelesen, kopiert oder geändert werden. Wir möchten deshalb an dieser Stelle wiederholt darauf hinweisen, dass die Versendung von unverschlüsselten Nachrichten über das Internet so vertraulich und gesichert ist wie der traditionelle Versand einer Postkarte !
111 9HUHLQH:HLWHUJDEHYRQ0LWJOLHGHUOLVWHQDQ'ULWWH 'DV,QWHUHVVHYRQ+DQGHOVILUPHQ'LHQVWOHLVWXQJVEHWULHEHQDEHUDXFKYRQSROLWLVFKHQ 3DUWHLHQRGHU,QVWLWXWLRQHQPLWLGHHOOHU=LHOVHW]XQJIÅU$GUHVVHQGLHQDFKEHVWLPPWHQ .ULWHULHQYRUVHOHNWLRQLHUWVLQGLVWJURVV:HUGLHULFKWLJH$GUHVVHKDWLVWGHP=LHOVHLQ 3URGXNWRGHUVHLQH,GHHQDQGHQ0DQQ]XEULQJHQEHUHLWVHLQJDQ]HV6WÅFNQlKHU JHNRPPHQ Da in der Schweiz vergleichsweise viele Vereine mit verschiedenster Ausrichtung existieren, gibt es dementsprechend ebenso viele Mitgliederlisten, sprich Adressdateien. Wer beispielsweise Hundefutter verkaufen möchte, hat die Möglichkeit, sich an sämtliche Hundezüchterverbände oder kynologische Gesellschaften der Schweiz zu wenden, um Mitgliederlisten anzufordern, die etwa zur Versendung von Werbematerial verwendet werden können. Solche Adresslisten sind zumeist problemlos und v.a. kostenlos erhältlich. Somit lässt sich mit etwas Kombinationsgabe so mancher Franken sparen. Wie aus zahlreichen Anfragen hervorgeht, die uns in diesem Zusammenhang erreicht haben, ist dieser freigiebige Umgang mit Personendaten zahlreichen Vereinsmitgliedern ziemlich sauer aufgestossen. - Und dies mit Recht. Denn soweit aus den jeweiligen Vereinsstatuten nichts anderes hervorgeht, dürfen die verantwortlichen Organe keine Mitgliederlisten oder andere personenbezogene Daten an Dritte weitergeben, es sei denn, sie sind dazu rechtlich verpflichtet oder sie haben vorgängig die Einwilligung der Mitglieder ihres Vereins eingeholt. Eine gegenteilige Verhaltensweise würde einem der tragenden Prinzipien des Bundesgesetzes über den Datenschutz, namentlich dem Zweckbindungsgebot widersprechen. Nach diesem Grundsatz dürfen Personen- daten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Der Vollständigkeit halber sei an dieser Stelle noch angemerkt, dass die Aushändigung von Mitgliederlisten an Vereinsmitglieder für Zwecke, die nicht lediglich der Ausübung von Mitgliedschaftsrechten dienen, grundsätzlich ebenfalls der Einwilligung der übrigen Mitglieder bedarf (siehe 5. Tätigkeits- bericht, S. 67ff: Weitergabe von Mitgliederlisten an Vereinsmitglieder).
112 :HLWHUJDEHYRQ3HUVRQHQGDWHQGXUFKNRPPXQDOH%HK|UGHQIÅU NRPPHU]LHOOH=ZHFNH (LQH$UEHLWVJUXSSHGHUNDQWRQDOHQ'DWHQVFKXW]EHDXIWUDJWHQDQZHOFKHUDXFKGHU ('6% EHWHLOLJW ZDU EHIDVVWH VLFK PLW GHU :HLWHUJDEH YRQ $GUHVVOLVWHQ GXUFK *HPHLQGHQ,QVEHVRQGHUHZDU]XXQWHUVXFKHQREXQGXQWHUZHOFKHQ9RUDXVVHW]XQJHQ NRPPXQDOH%HK|UGHQSHUVRQHQEH]RJHQH9HUZDOWXQJVLQIRUPDWLRQHQ]XNRPPHU]LHOOHQ =ZHFNHQ ZHLWHUJHEHQ GÅUIHQXQG REJHJHEHQHQIDOOV DXVUHLFKHQGH JHVHW]OLFKH *UXQGODJHQIÅUVROFKH'DWHQEHDUEHLWXQJHQYRUKDQGHQVLQG Im Verlaufe unserer Abklärungen im Bereich Adresshandel und Direktmarketing hat sich immer wieder die Frage nach der ursprünglichen Quelle der bearbeiteten Daten gestellt. Verschiedene Firmen und Institutionen, die um Auskunft ersucht wurden, nannten neben privaten Adresshändlern nicht selten auch diverse Einwohnerkontrollen als Datenlieferanten. Die Datenbearbeitung durch kommunale Behörden fällt grundsätzlich in den Zuständigkeitsbereich der Kantone. Anfragen von Privaten, welche sich darüber beschweren, dass ihre Einwohnergemeinden ihre Daten z. B. für kommerzielle Zwecke (Handelsfirmen, Banken) oder für Spendenaufrufe (Organisationen mit ideeller Zielsetzung) weitergeben, leiten wir deshalb regelmässig an die zuständigen kantonalen Datenschutzbehörden zur Beantwortung weiter. Die Teilnahme an der Arbeitsgruppe der kantonalen Datenschutzbeauftragten zu diesem Thema erschien uns daher als gute Gelegenheit, um einerseits mehr über die kommerzielle Nutzung von Verwaltungsinformationen in den Kantonen zu erfahren und andererseits Informationen im Bereich Adresshandel und Marketing auszutauschen. Damit sich die Arbeitsgruppe ein Gesamtbild über die geschilderten Daten- bearbeitungen verschaffen konnte, hat sie eine Umfrage zuhanden aller kantonalen Datenschutzbehörden ausgearbeitet. Im vorliegenden Zusammen- hang haben sich v.a. folgende Fragen gestellt:
113 entweder noch keine zentrale Behörde gibt, die sich um die Datenschutzbelange der Gemeinden kümmert, oder keine einheitliche Regelung für kommunale Behörden existiert. Die ursprüngliche Idee, allenfalls einen einheitlichen minimalen Regelungsstandard hinsichtlich der Weitergabe von Verwaltungs- informationen zu kommerziellen und anderen Zwecken durch die Gemeinden zu verwirklichen, musste somit fallengelassen werden. Obwohl diese Angelegenheit in den Zuständigkeitsbereich der Kantone gehört, möchten wir an dieser Stelle zumindest darauf hinweisen, dass es der Rechts- sicherheit der Bürger und dem Transparenzgedanken zweifellos dienen würde, die Bürger vermehrt über die Datenbearbeitungen kantonaler und kommunaler Behörden zu orientieren. Dies gilt insbesondere dort, wo Daten nicht ausschliesslich zur Erfüllung gesetzlicher Aufgaben bearbeitet werden. 6WDWLVWLN 9RONV]lKOXQJ 'LH5HYLVLRQGHV9RONV]lKOXQJVJHVHW]HVZXUGHYRQGHQ5lWHQYHUDEVFKLHGHW'LH ZLFKWLJVWHGHU]DKOUHLFKHQ1HXHUXQJHQLVWGLHbQGHUXQJGHU(UKHEXQJVPHWKRGHXQGGLH 9HUZHQGXQJHLQHUEHVFKUlQNWHQ$Q]DKOYRQ'DWHQIÅUGLH1DFKIÅKUXQJGHUNDQWRQDOHQ XQGNRPPXQDOHQ5HJLVWHU Im kommenden Jahr (Dezember 2000) wird die nächste Volkszählung stattfinden. Diese Volkszählung ist eine Übergangsvolkszählung, welche die zukünftige Erhebung von Daten über die Register ermöglichen soll (vgl. Tätigkeitsbericht 1997/98 S. 69). Im vergangenen Jahr hat das Bundesamt für Statistik die Vollzugsverordnung über die eidgenössische Volkszählung erarbeitet. In dieser Verordnung sind auch die neuen Aspekte der register- gestützten Volkszählung integriert. Die Verordnung übernimmt Prinzipien, die bereits bei der letzten Volkszählung im Jahre 1990 erarbeitet wurden, wie die Definition der Erhebungs- und Hilfsmerkmale oder die Aufgabenteilung zwischen Bund und Kantonen. Zugleich enthält die Verordnung auch neue Bestimmungen über den Vorbedruck der Fragebögen und den Beizug von privaten Dienstleistungszentren für die Unterstützung von Gemeinde- und Bundesaufgaben. Die datenschutzrechtlichen Anforderungen, die wir für die Durchführung dieser sogenannten Übergangsvolkszählung gestellt haben, wurden in der Verordnung eingegliedert. Insbesondere werden die Daten, die für die Harmonisierung der Einwohnerregister notwendig sind, abschliessend
114 aufgezählt. Im Weiteren besteht die Möglichkeit, den ausgefüllten Fragebogen im separaten verschlossenen Umschlag zurückzusenden. Schliesslich finden sich Datenschutzbestimmungen über die Aufgaben und Pflichten von privaten Dienstleistungszentren, welche im Rahmen der Volkszählung Personendaten bearbeiten. Im laufenden Jahr werden noch Musterverträge für die Auslagerung von Aufgaben an Dienstleistungszentren erarbeitet. Insbesondere ist durch diese Musterverträge sicherzustellen, dass die beauftragten Dienstleistungzentren die erforderlichen Massnahmen zur Sicherstellung des Datenschutzes treffen. Wesentlich dabei ist, dass bei der Auslagerung solcher Aufgaben die sogenannten Volkszählungsdaten nicht mit Personendaten aus den Hilfs- registern des Dienstleistungszentrums «bereichert» werden. Mit anderen Worten: Die Datenbearbeitung im Dienstleistungszentrum darf nicht dazu führen, dass mehr Informationen an die Gemeinden und Kantone zurück- fliessen, als diese beim Einsatz von Zählern erhalten hätten. Der Datenrückfluss aus den Dienstleistungszentren an die Register darf dementsprechend nur im gesetzlich vorgesehenen Rahmen erfolgen. Im Übrigen ist – obwohl dies selbst- verständlich erscheinen mag – in solchen Verträgen eine Aktualisierung der vom Dienstleistungszentrum eingesetzten Hilfsregister mit Volkszählungsdaten ausdrücklich auszuschliessen. ,,:(,7(5(7+(0(1 'DWDZDUHKRXVLQJ'DWDPLQLQJ
'LH3UREOHPDWLN'DWDZDUHKRXVLQJ'DWDPLQLQJXQG'DWHQVFKXW]
0LWGHQ%HJULIIHQ'DWDZDUHKRXVLQJRGHU'DWDPLQLQJZHUGHQHOHNWURQLVFKH'DWHQ EHDUEHLWXQJVYHUIDKUHQ YHUVWDQGHQ 0LW VFKHLQEDU ]XVDPPHQKDQJVORVHQ 'DWHQ EHVWlQGHQHLQHV8QWHUQHKPHQVN|QQHQVRZLVVHQVZHUWH(UNHQQWQLVVHJHZRQQHQZHUGHQ 0LWVROFKHQ9HUIDKUHQNDQQXQWHUVXFKWZHUGHQIÅUZHOFKHZHLWHUH=ZHFNHEHUHLWV YRUKDQGHQH3HUVRQHQGDWHQHLQJHVHW]WZHUGHQN|QQHQ)ÅUGLHEHWURIIHQHQ3HUVRQHQLVW GDGXUFKQLFKWPHKUHUNHQQEDUIÅUZHOFKH=ZHFNHLKUH'DWHQYHUZHQGHWZHUGHQ6RPLW ZLUGGHP3ULQ]LSGHU=ZHFNELQGXQJQLFKWPHKU5HFKQXQJJHWUDJHQ
115 In vielen Unternehmen wächst der Wunsch aus all den angehäuften Personen- daten mehr Nutzen zu ziehen. Um weitere Informationen aus ihren Kunden- daten gewinnen zu können, müssen die Daten jedoch in geeigneter Weise bearbeitet und ausgewertet werden. Mit solchen Verfahren lassen sich aus Kundendaten neue Informationen gewinnen. Aufgrund neuer Erkenntnisse können die neu generierten Personendaten für unterschiedlichste Zwecke eingesetzt und verwendet werden. Beispielsweise können in den Daten verborgene Aussagen über durchschnittliche geschäftliche Erfahrungen mit bestimmten Kunden und auch Voraussagen über bestimmte Personen oder Sachverhalte gemacht werden. Aus diesem Grund sind solche Technologien ein vielversprechendes Mittel, die vorhandenen Daten eines Unternehmens für weitere potentielle Zwecke zu nutzen. Problematisch an dieser ständigen Bewertbarkeit von Personen ist der damit verbundene Verlust der Transparenz gegenüber den betroffenen Personen. Der Einzelne ist nicht mehr in der Lage zu beurteilen, welche Informationen zu welchem Zweck und von wem bearbeitet werden. Die aufgrund der Erfassung, Speicherung und Auswertung möglich gewordene Definition von Gewohnheiten und Verhaltensweisen von Personen führt zur Bildung von umfangreichen Persönlichkeitsprofilen, ohne dass die betroffenen Personen darüber im Bilde sind. Dies bringt die Gefahr mit sich, dass gegebenenfalls un- korrekte Aussagen über Personen gespeichert werden. Weil die Betroffenen in der Regel keine Kenntnis von solchen Datenbearbeitungen haben, haben sie auch kaum eine Chance, die Richtigkeit dieser Daten zu überprüfen und deren Berichtigung zu verlangen. Bei Datensammlungen, deren Personendaten mittels solchen Verfahren angelegt werden, kann dem Erfordernis der Transparenz kaum Rechnung getragen werden. Betroffene Personen können somit überhaupt nicht mehr mitbestim- men, was mit ihren eigenen Daten gemacht wird. Auch den Anforderungen des Zweckbindungsgebotes wird nicht Rechnung getragen, weil kaum anzunehmen ist, dass bei der Erhebung der Daten der Bearbeitungszweck für den Betroffenen ersichtlich war oder dass er darüber informiert wurde.
Gemäss Art. 13 DSG ist die Verletzung der Persönlichkeit nicht widerrechtlich, wenn ein bestimmter Rechfertigungsgrund für die Bearbeitung geltend gemacht werden kann. In der Regel müssen die Daten für die Erreichung eines bestimmten legitimen Zweckes erforderlich sein, damit ein Rechtfertigungs- grund geltend gemacht werden kann. Es würde schwierig sein, einen Rechtfertigungsgrund im Sinne von Art. 13 DSG zu finden, um vorliegend die Verletzung des Zweckbindungsgebotes zu legitimieren. Bei Datamining und Datawarehousing sind weder die Daten noch die Ergebnisse der Auswertung für bestimmte wirtschaftliche Zwecke unmittelbar notwendig. Aus diesem Grunde ist ein derartiges Zusammentragen und Analysieren von Personendaten rechtlich problematisch. Der Aufbau von personenbezogenen Daten- sammlungen, deren Daten mittels Datawarehousing oder Datamining gewonnen
116 werden, ist mit den Bearbeitungsgrundsätzen des DSG nicht vereinbar. Das hat nicht zu bedeuten, dass Unternehmen auf Marktforschungsmechanismen oder auf die Bildung von massgeschneiderten Marketingprofilen gänzlich verzichten müssen. Für den Fall, dass Daten von Unternehmen auf diese Weise genutzt werden, sind die Betroffenen vorgängig genau darüber zu informieren, mit welchen Bearbeitungsmethoden und Bearbeitungszwecken sie zu rechnen haben. Auf diese Weise können sie sich gegebenenfalls der Bearbeitung wider- setzen.
.XQGHQNDUWHQ
.XQGHQNDUWH0&XPXOXV
'DV(LQNDXIVYHUKDOWHQYRQ3HUVRQHQGLHPLWHLQHU0&XPXOXV.DUWHHLQNDXIHQZLUG PLWGHUHQ(LQZLOOLJXQJIÅU6WDWLVWLNXQG0DUNHWLQJDXVZHUWXQJHQYHUZHQGHW6LQQXQG =ZHFNGHU$XVZHUWXQJEHVWHKHQGDULQGHQHLQ]HOQHQ.XQGHQPLWVSH]LHOODXILKQ ]XJHVFKQLWWHQHQXQGLKQLQWHUHVVLHUHQGHQ:HUEHLQIRUPDWLRQHQ]XEHGLHQHQ,QGHQ )LOLDOHQZHUGHQNHLQH(LQ]HOLQIRUPDWLRQHQÅEHU.XQGHQJHVSHLFKHUW%HL5HNODPD WLRQHQKLQVLFKWOLFKGHU$XV]DKOXQJYRQ0&XPXOXV3XQNWHQNDQQK|FKVWHQVLP&DOO &HQWHUUHNRQVWUXLHUWZHUGHQREGLHVHNRUUHNWDXVJHJHEHQZXUGHQ
Verschiedentlich wurden wir von Bürgern und Bürgerinnen angefragt, ob die Bearbeitung von Personendaten durch die M-Cumulus-Karte korrekt vor sich gehe. Der EDSB liess sich daher die Bearbeitung der Personendaten vor Ort vorführen. Bearbeitet werden diejenigen Personendaten, welche die Kunden im Antrag für eine M-Cumulus-Karte angegeben haben. Dies bedeutet Name, Vorname, Adresse und Sprache. Freiwillig waren zusätzliche Angaben wie das Geburtsdatum und weitere im selben Haushalt lebende Personen. Die eingekauften Waren werden zu Statistik- und Marketingzwecken in ein paar (Einkaufsverhaltens-) Gruppen unterteilt. Damit soll erreicht werden, dass jemand nur Werbung für Produkte erhält, die er effektiv verwenden kann. Rentner sollten beispielsweise keine Aktionsangebote über Baby-Windeln mehr erhalten. Aufgrund des Einkaufsverhaltens wird unterschieden, ob jemand Kinder, einen Garten bzw. Haustiere hat, damit z.B. eine Rasenmäher-Aktion nur Kunden mit Garten angepriesen wird. Eine weitergehende Auswertung ist momentan nicht vorgesehen. Wer auf Marketing-Angaben verzichten will und lediglich Punkte sammeln möchte, erhält kein Werbematerial. Jedoch werden
117 auch diese Daten bestimmten Verhaltensgruppen anonym zugeordnet. Personen, die gar keine Auswertung ihrer Daten möchten, können keine Punkte sammeln (vgl. auch 5. Tätigkeitsbericht S. 74/75). Wie uns erklärt wurde, wird von Unternehmen der Migros-Gruppe nur die Adresse (ohne Kundennummer) ausschliesslich zu Werbezwecken verwendet. Auskünfte an Dritte werden grundsätzlich keine erteilt. Es kommt hin und wieder vor, dass Diebe ihre M-Cumulus-Karte in fremden Wohnungen liegen lassen. Wenn der Untersuchungsrichter aufgrund der M-Cumulus-Nummer den Namen und die Adresse bei der Migros zwecks Aufklärung des Falles verlangt, muss der Name des Inhabers oder der Inhaberin der Karte bekanntgegeben werden. In den Filialen der Migros werden keine Einzelinformationen abgespeichert. Die Angaben sind in Datensätzen (records) vorhanden, welche bei Reklama- tionen von Punkten konsultiert werden. Beschwerden können dem Call-Center gemeldet werden, wo die Beanstandung aufgeschrieben wird (Freitext). Wir wiesen darauf hin, dass aus Gründen des Persönlichkeitsschutzes Freitexte soweit als möglich zu vermeiden seien.
'DWHQVFKXW]XQG0HGLHQ 'HUGDWHQVFKXW]UHFKWOLFKH$QVSUXFKDXI%HULFKWLJXQJ :LU ZXUGHQ VFKRQ PHKUIDFK DQJHIUDJW RE LP )DOOH GHU 9HU|IIHQWOLFKXQJ YRQ XQULFKWLJHQ 3HUVRQHQGDWHQ GXUFK GLH 0HGLHQ GLH %HWURIIHQHQ QHEHQ GHP ]LYLO UHFKWOLFKHQ$QVSUXFKDXIHJHQGDUVWHOOXQJDXFKGLH0|JOLFKNHLWKlWWHQLKU5HFKWDXI 5LFKWLJVWHOOXQJQDFK'DWHQVFKXW]JHVHW]'6GXUFK]XVHW]HQ Die Veröffentlichung von Personendaten durch Presse, Radio oder Fernsehen stellt eine Datenbearbeitung im Sinne des DSG dar. Auch bei Veröffentlichungen durch Medien sind deshalb die datenschutzrechtlichen Bearbeitungsgrundsätze zu beachten (Rechtmässigkeit der Bearbeitung; Bearbeitung nach dem Grundsatz von Treu und Glauben; Zweckbindung und Verhältnismässigkeit der Datenbearbeitung; Richtigkeit der Daten). Eine Datenbearbeitung ist in jedem Fall widerrechtlich, wenn der Inhaber der Datensammlung wider besseres Wissen unrichtige Daten bearbeitet. Der daraus fliessende Anspruch des Betroffenen auf Richtigstellung ist verschuldens- unabhängig. Wie oben bereits erwähnt, ist der Datenbearbeiter verpflichtet, sich über die Richtigkeit der Daten zu vergewissern. Die betroffene Person hat somit
118 ihrerseits einen einklagbaren Berichtigungsanspruch gegenüber dem Inhaber der Datensammlung. Dem Inhaber stehen im Gegensatz zu Ansprüchen, die auf Art. 15 DSG gestützt sind, keine Rechtfertigungsmöglichkeiten im Sinne von Art. 12 und 13 DSG offen. Art. 5 Abs. 2 DSG ist als eine selbständige Anspruchsgrundlage auf Berichtigung zu betrachten, die gestützt auf Art. 28a Abs. 2 ZGB gerichtlich durchgesetzt werden kann. Es sind verschiedene Kategorien von unrichtigen Daten denkbar. Klar ist der Fall, wo Daten vollständig falsch sind (bspw. falsch geschriebener Name, falsches Geburtsdatum). Denkbar ist aber auch, dass ein einzelnes Datum an sich richtig ist, aber die ganze Wirklichkeit verzerrt oder unvollständig wieder- gegeben wird. Die Frage, inwieweit diese relative Richtigkeit eines Personen- datums im Einzelfall als unrichtig im Sinne des Datenschutzgesetzes zu gelten hat, kann nur unter Berücksichtigung des Zwecks und der Art der Daten- bearbeitung bestimmt werden. Der Unterschied zwischen Berichtigung und Gegendarstellung besteht somit darin, dass bei der Gegendarstellung die betroffene Person ihre subjektive Meinung in bezug auf eine sie betreffende Tatsachendarstellung bspw. in einem Zeitungsartikel zum Ausdruck bringen kann. Im Gegensatz dazu enthält die Berichtigung eine auf ihre Begründetheit und Zulässigkeit objektiv überprüfbare Aussage. Da im Einzelfall für den Laien oft nicht ganz leicht feststellbar ist, ob es sich jeweils um objektiv unrichtige Daten oder um subjektiv als unrichtig empfundene Tatsachendarstellungen handelt, die es zu berichtigen gilt, empfehlen wir, zur Sicherheit beide Rechtsbegehren geltend zu machen.
119 =ROOZHVHQ 3URMHNW]XU,QIRUPDWLVLHUXQJGHVJHPHLQVDPHQ=ROOYHUVDQG YHUIDKUHQV 'LH2EHU]ROOGLUHNWLRQKDWXQVGDUXPJHEHWHQDQGHQ$UEHLWHQ]XVDPPHQPLWGHU .RPPLVVLRQGHU(XURSlLVFKHQ8QLRQ]XU,QIRUPDWLVLHUXQJGHVJHPHLQVDPHQ=ROO YHUVDQGYHUIDKUHQVPLW]XZLUNHQ'DQNGLHVHU=XVDPPHQDUEHLWNRQQWHQLP5DKPHQGHV 5HYLVLRQVSURMHNWV]XGHQ$QODJHQGHVhEHUHLQNRPPHQVÅEHUHLQJHPHLQVDPHV9HUVDQG YHUIDKUHQ6FKXW]QRUPHQIÅUVSH]LILVFKH'DWHQGHV1HXHQ&RPSXWHULVLHUWHQ7UDQVLW 6\VWHPVHLQJHIÅKUWZHUGHQ,Q(UJlQ]XQJ]XULQWHUQDWLRQDOHQ*HVHW]JHEXQJKDEHQZLU GLH2EHU]ROOGLUHNWLRQDQGLH1RWZHQGLJNHLWHULQQHUW0DVVQDKPHQ]XU5HJHOXQJGHU %HDUEHLWXQJQDWLRQDOHU9HUVDQGGDWHQLQHLQHU9HURUGQXQJ]XWUHIIHQ'LH3LORW EHWULHEVSKDVH GHV 1HXHQ &RPSXWHULVLHUWHQ 7UDQVLW6\VWHPV DQ GHU GLH 6FKZHL] PLWZLUNHQZLUGLVWIÅU+HUEVWJHSODQW Die Oberzolldirektion (OZD) ersuchte uns, in Zusammenarbeit mit dem Integrationsbüro und dem Bundesamt für Justiz an den Arbeiten mit der Kommission der Europäischen Union (EU) zur Informatisierung des gemeinsamen Zollversandverfahrens mitzuwirken. Seit dem Inkrafttreten der Bestimmungen über den EU-Binnenmarkt (1993) haben sich im Rahmen des gemeinschaftlichen Zollversandverfahrens eine Reihe von Problemen gestellt. Im Februar 1997 veröffentlichte ein Untersuchungsausschuss des Europa- parlaments in einem Bericht zahlreiche Empfehlungen, die hauptsächlich drei Arten von Massnahmen fordern : Operationelle Massnahmen zur Verbesserung des Umgangs mit dem Versandverfahren ; normative Massnahmen zur Harmonisierung der Bestimmungen des gemeinschaftlichen Verfahrens ; Informatisierung des gemeinsamen Verfahrens mit Rationalisierungseffekten für den Versand der Zollstellen-Partner (z.B. Importeure, Transporteure...) und der nationalen Zollbehörden. Aufgrund ihrer geographischen Lage hat die Schweiz für die Erarbeitung des Projekts Neues Computerisiertes TransitSystem (NCTS), das zur tragenden Säule des europäischen Warenhandelssystems werden soll, umfassende Ressourcen eingesetzt. Im Rahmen der Arbeiten wurden zahlreiche Diskussionen mit der EU-Kommission geführt, um den neuen Versand- mechanismus rechtlich zu verankern. So wurde insbesondere beschlossen, die Anhänge I bis III des Übereinkommens von 1987 über ein gemeinsames Versandverfahren zwischen der Europäischen Wirtschaftsgemeinschaft und den EFTA-Ländern zu überarbeiten.
120 In der von der ODZ eingesetzten Arbeitsgruppe untersuchten wir zunächst die rechtlichen Auswirkungen auf nationaler und internationaler Ebene sowie die datenschutzrechtlichen Erfordernisse des Projekts für den Pilotbetrieb und für das endgültige System. Die Ergebnisse der Arbeiten belegten die Notwendigkeit, das Informatisierungsprojekt auf angemessene Gesetzes- grundlagen zu stellen und die erforderlichen Datenschutznormen in die laufende Revision der Anhänge I bis III des Übereinkommens über ein gemeinsames Versandverfahren aufzunehmen. In der zweiten Phase unterstützten wir die OZD in ihrem weiteren Vorgehen bei den betroffenen Direktionen der EU- Kommission. In Anschluss an die verschiedenen Vorgehensschritte und die darauffolgenden Verhandlungen erzielten wir ergänzend zur Bestimmung über die Daten- sicherheit die Integration eines spezifischen Datenschutzartikels in die Revision der Anhänge I bis III des Übereinkommens. Es wurden folgende Punkte geregelt : Definition der Personendaten, natürlicher und juristischer Personen ; Beschränkung der Datenbenutzung auf die Anwendung des Versandverfahrens- Übereinkommens unter klarer Regelung der Ausnahmen von diesem Grundsatz ; Verpflichtung für die Vertragsparteien, Massnahmen einzuführen, die mindestens den Grundsätzen des Übereinkommens Nr. 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personen- bezogener Daten entsprechen ; Einführung von Kontrollmassnahmen. Die erfolgreichen Schritte bei der EU-Kommission ermöglichten der OZD, im November 1998 einen Antrag zuhanden des Bundesrates auf Annahme der Revision der Anhänge I bis III des Übereinkommens über ein gemeinsames Versandverfahren in Vernehmlassung zu geben. Ziel ist es, die Pilot- betriebsphase von NCTS mit den erforderlichen Gesetzesgrundlagen zu starten. Bei dieser Gelegenheit wiesen wir die OZD darauf hin, dass ergänzend zur internationalen Gesetzgebung auch die erforderlichen Vorkehrungen getroffen werden müssen, um die Bearbeitung der nationalen Versanddaten auf Verordnungsstufe zu regeln. Die Pilotbetriebsphase des NCTS-Systems ist für Herbst 1999 geplant. Die Schweiz sowie vier EU-Mitgliedstaaten (Niederlande, Deutschland, Spanien, Italien) sollen sich daran beteiligen. Die Anwendung des völlig informatisierten gemeinsamen Versandverfahrens soll nach den verschiedenen Einführungs- phasen von NCTS im Jahr 2003 anlaufen.
121 9HU|IIHQWOLFKXQJYRQ3HUVRQHQGDWHQ
9HU|IIHQWOLFKXQJGHU/LVWHGHUZlKUHQGGHV]ZHLWHQ:HOWNULHJVLQ GHU6FKZHL]DXIJHQRPPHQHQ)OÅFKWOLQJHLP,QWHUQHW
$OV5HDNWLRQDXIGLH,QWHUSHOODWLRQ6FKHXUHUYRP-XQLVLHKWGHU%XQGHVUDWYRU GLH/LVWHGHU7DXVHQGHYRQ)OÅFKWOLQJHQGLHZlKUHQGGHV]ZHLWHQ:HOWNULHJVLQGHU 6FKZHL]DXIJHQRPPHQZXUGHQLP,QWHUQHW]XYHU|IIHQWOLFKHQ'HU(LGJHQ|VVLVFKH 'DWHQVFKXW]EHDXIWUDJWHZXUGHDXIJHIRUGHUWVLFK]XGLHVHU3XEOLNDWLRQ]XlXVVHUQXQG PHOGHWHVFKZHUZLHJHQGH%HGHQNHQDQGHUHQ1RWZHQGLJNHLWXQG=ZHFNPlVVLJNHLWDQ 6ROOHVWURW]GHPGD]XNRPPHQVRIRUGHUWGHU('6%GLHYRUJlQJLJH6FKDIIXQJHLQHU JHVHW]OLFKHQ *UXQGODJH VRZLH 0DVVQDKPHQ ]XU *HZlKUOHLVWXQJ GHU 5HFKWH GHU EHWURIIHQHQ3HUVRQHQPHKUHUH3HUVRQHQOHKQWHQGLH3XEOLNDWLRQLPhEULJHQDE
Am 10. Juni 1998 hinterlegte Nationalrat Scheurer eine Interpellation, in der er vom Bundesrat erfahren wollte, ob er nicht der Auffassung sei, « dass – als Antwort auf die heftigen Angriffe und zur objektiven Klärung unserer jüngsten Vergangenheit – die vollständige Namensliste der jüdischen und nicht jüdischen Flüchtlinge, die in der Schweiz vor der Verfolgung durch die Nazis Zuflucht gefunden haben, veröffentlicht werden sollte. »
In seiner Antwort erachtet es der Bundesrat « ...als nützlich, eine Liste der in der Schweiz während des Zweiten Weltkriegs aufgenommenen Flüchtlinge auf Internet und in Buchform zu veröffentlichen, um die Kenntnisse über die Schweizer Geschichte dieser Epoche zu bereichern. Gemäss dem Bundesgesetz über den Datenschutz benötigt eine solche Publikation eine ausdrückliche gesetzliche Grundlage. » Diese wird mit der Ausführungsverordnung zum Archivgesetz vom 26. Juni 1998 geschaffen.
Der Datenschutzbeauftragte wurde um eine Stellungnahme zum Antwort- entwurf des Bundesrates gebeten und meldete schwerwiegende Bedenken an der Angemessenheit der Veröffentlichung einer solchen Liste an. Aus datenschutzrechtlicher Sicht ist die Publikation unverhältnismässig. Ausserdem beinhaltet die Veröffentlichung im Internet ein höheres Risiko der Beeinträchtigung der Persönlichkeit als die Einsicht in die Bundesarchive. Eine Veröffentlichung ohne Namensangabe reicht aus, um die in der Interpellation angestrebten Ziele zu erreichen.
122 Wird trotzdem eine Publikation im Internet erwogen, so muss zunächst eine explizite gesetzliche Grundlage geschaffen werden. Bei der Veröffentlichung handelt es sich um eine Bekanntgabe durch ein Abrufverfahren im Sinne von Artikel 19 Absatz 3 DSG. Laut dieser Bestimmung dürfen Bundesorgane Personendaten durch ein Abrufverfahren nur zugänglich machen, wenn dies ausdrücklich in einer Gesetzesgrundlage vorgesehen ist. Weder das Reglement für das Bundesarchiv noch das zukünftige Bundesarchivgesetz sehen die Bekanntgabe durch Abrufverfahren ausdrücklich vor. Ausserdem verlangten wir, dass die betroffenen Personen oder ihre Angehörigen vor der Publikation insbesondere durch eine Anzeige im Internet über die Veröffentlichung und über ihre Einspracherechte informiert werden. Schliesslich forderten wir, dass die Publikation durch Sicherheitsmassnahmen zur Vermeidung missbräuchlicher Bearbeitungen ergänzt wird (vgl. auch unsere Empfehlung über die Publikation von Namen in Verbindung mit nachrichtenlosen Vermögenswerten bei Banken im 5. Tätigkeitsbericht 1997/98 S. 76). Die vollständige Liste der 51'000 betroffenen Personen darf in keinem Fall in einer einzigen Abfrageaktion eingesehen oder heruntergeladen werden. Die Einsicht hat demnach fallweise und nach vorbestimmten Kriterien zu erfolgen.
Unmittelbar bei Bekanntgabe der Anwort des Bundesrates beschwerten sich mehrere Flüchtlinge des zweiten Weltkriegs bzw. ihre Angehörigen bei uns und verwehrten sich gegen die Publikation ihrer Namen und jener ihrer Angehörigen. Wir belehrten sie über ihre Rechte und forderten sie auf, ihre Einwände dem Bundesarchiv zu melden. Zu gegebener Zeit werden wir in einer Kontrolle nachprüfen, ob das Einspracherecht beachtet wurde.
3XEOLNDWLRQHLQHU1DPHQVOLVWHLP$QKDQJHLQHU9HURUGQXQJGHV %XQGHVUDWHV
:LUGHLQH1DPHQVOLVWHYRQ3HUVRQHQZHOFKHHJHQVWDQGDGPLQLVWUDWLYHU0DVVQDKPHQ ELOGHQLQHLQHQ9HURUGQXQJVWH[WRGHU$QKDQJDXIJHQRPPHQVLQGGLHDOOJHPHLQHQ 'DWHQVFKXW]JUXQGVlW]HYRUDOOHPGDV9HUKlOWQLVPlVVLJNHLWVSULQ]LS±]XHUIÅOOHQXQG LQHLQHPHVHW]LPIRUPHOOHQ6LQQYRU]XVHKHQ
Das Bundesamt für Aussenwirtschaft (BAWI) gab einen Verordnungsentwurf für Massnahmen gegen die UNITA (angolanische Oppositionsbewegung) in die Vernehmlassung. Der EDSB wurde nicht direkt konsultiert. Das BAWI ersuchte uns auf Anfrage der Bundeskanzlei in sehr kurzer Frist um eine Stellungnahme zum Entwurf. Der Anhang der Verordnung umfasst eine Namensliste von UNITA-Führern und deren Familienmitgliedern. Das Projekt warf in bezug auf
123 die Gesetzestechnik und den Datenschutz Probleme auf. Nach der Doktrin enthält eine bundesrätliche Verordnung allgemeine und abstrakte Regeln. Eine nur auf rund zehn Personen anwendbare Verordnung erfüllt dieses Kriterium nicht. Aus diesem Grund forderten wir das BAWI auf, sich zur Lösung der gesetzestechnischen Frage an das Bundesamt für Justiz zu wenden. Aus datenschutzrechtlicher Sicht stellt die Publikation von Namen und Vornamen von Personen, gegen welche administrative Massnahmen verhängt werden (Einfrieren von Guthaben, Einreise- oder Durchreiseverbot) eine Bearbeitung besonders schützenswerter Daten dar. Laut DSG dürfen besonders schützenswerte Daten nur bearbeitet werden, wenn ein formelles Gesetz es ausdrücklich vorsieht. Unter Gesetz im formellen Sinne sind die Bundesgesetze, die referendumspflichtigen allgemeinen Bundesbeschlüsse, die für die Schweiz zwingenden Entschliessungen internationaler Organisationen sowie die von der Bundesversammlung genehmigten Völkerrechtsverträge, welche Rechtsvorschriften enthalten, zu verstehen. Nach unserem Wissen fehlt eine solche gesetzliche Grundlage. Ausserdem fragt sich, inwiefern die Publikation mit Blick auf die Verhältnismässigkeit erforderlich ist. Dazu muss eine Interessensabwägung – Zweck der Bearbeitung und unvermeidliche Beeinträchtigung der Persönlichkeit – vorgenommen werden. Zu wählen ist diejenige Datenbearbeitung, die am wenigsten stark in die Persönlichkeit der Betroffenen eingreift. Im vorliegenden Fall lässt sich dieses Ziel allein mit der Bekanntgabe der Liste der UNITA-Führer, der UNITA-Vertreter im Ausland und der erwachsenen Familienmitglieder der UNITA-Führer an öffentliche Stellen und an betroffene Privatpersonen durchaus erreichen. Zudem ist die Genauigkeit der veröffentlichten Personendaten nicht garantiert. Abschliessend haben wir dem BAWI empfohlen, die Namensliste nicht in der Verordnung über Massnahmen gegen die UNITA zu publizieren – weder im Textkorpus noch im Anhang. Die Liste muss Gegenstand eines Entscheids des Bundesrates, des Eidgenössischen Departements für auswärtige Angelegenheiten, des Eidgenössischen Volkswirtschaftsdepartements oder des BAWI bilden und den betroffenen öffentlichen Stellen und Privatpersonen bekanntgegeben werden. Ausserdem wiesen wir das BAWI darauf hin, dass die Bearbeitung besonders schützenswerter Personendaten in einem formellen Gesetz ausdrücklich vorgesehen werden muss. Das BAWI hat unsere Bemerkungen nicht berücksichtigt und der Bundesrat hat die fragliche Verordnung genehmigt.
124 9HU|IIHQWOLFKXQJYRQ3HUVRQHQGDWHQLQ9HUELQGXQJPLWQDFKULFKWHQ ORVHQ9HUVLFKHUXQJVSROLFHQ
9RU GHU 9HU|IIHQWOLFKXQJ YRQ 1DPHQ LQ 9HUELQGXQJ PLW QDFKULFKWHQORVHQ 9HUVLFKHUXQJVSROLFHQPÅVVHQDOOH$QVWUHQJXQJHQXQWHUQRPPHQZHUGHQXPPLWGHQ EHWURIIHQHQ3HUVRQHQGLUHNW.RQWDNWDXI]XQHKPHQ'HU5HFKWIHUWLJXQJVJUXQGGHV ÅEHUZLHJHQGHQSULYDWHQ,QWHUHVVHVNDQQQXUDOVXOWLPRUDWLRKHUDQJH]RJHQZHUGHQXP HLQH9HU|IIHQWOLFKXQJYRQ3HUVRQHQGDWHQ]XOHJLWLPLHUHQ=XGHPLVWHVEHLHLQHU 9HU|IIHQWOLFKXQJÅEHU,QWHUQHWUDWVDPGLH'DWHQYLD6XFKNULWHULHQ]XJlQJOLFK]X PDFKHQ
Im Zusammenhang mit der Suche von Berechtigten an nachrichtenlosen Versicherungspolicen wurden wir angefragt, ob die Versicherungs- Gesellschaften eine Liste von nachrichtenlosen Versicherungspolicen veröffentlichen dürften und wie sie gestaltet werden müsste, damit keine datenschutzrechtlichen Bestimmungen verletzt würden. Die Bekanntgabe einer Liste von nachrichtenlosen Versicherungspolicen bestehend aus Name, Geburtsdatum inkl. Ort, Ort und Datum der Ausstellung, ledigem Frauenname und Namen von Begünstigten ist eine Bearbeitung im Sinne des DSG. Unter Bekanntgeben wird auch das Zugänglichmachen wie Einsichtgewähren, Weitergeben oder Veröffentlichen verstanden. Beim Bearbeiten von Personendaten darf die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzt werden. Eine widerrechtliche Bearbeitung liegt vor, wenn Personendaten ohne Rechtfertigungsgrund entgegen den allgemeinen Bearbeitungsgrundsätzen bearbeitet werden. Dies bedeutet, damit die vorgenannten Bearbeitungsgrundsätze erfüllt werden können, muss zuerst alles Notwendige unternommen werden, um die Berechtigten ausfindig zu machen. Angaben über lebende Berechtigte oder deren Nachkommen dürfen nur veröffentlicht werden, wenn ihr Einverständnis in die beabsichtigte Veröffentlichung vorliegt. Erst wenn nicht alle Begünstigten gefunden werden können, liesse sich die Veröffentlichung dieser Personendaten mit dem Rechtfertigungsgrund des überwiegenden privaten Interesses legitimieren. Das Medium der Veröffentlichung ist indes abhängig von der Anzahl der nicht gefundenen Personen. Bei einer sehr kleinen Zahl wäre es verhältnismässig, wenn die Veröffentlichung lediglich in Printmedien erfolgen würde. Falls die Zahl der betroffenen Personen gross ist, können die Daten über Internet zugänglich gemacht werden. Dabei müssen entsprechende Sicherheits- massnahmen getroffen werden, welche die Daten gegen unbefugtes Bearbeiten (insbesondere Ändern) schützen. Überdies darf nicht die ganze Liste der Namen abrufbar sein. Die Abfrage muss einzelfallweise und nach bestimmten
125 Suchkriterien wie beispielweise der Eingabe von Namen oder Geburtsdatum erfolgen.
%HUHLWVWHOOXQJYRQQLFKWVHQVLEOHQ3HUVRQHQGDWHQLP,QWHUQHWGXUFK HLQ%XQGHVRUJDQ
'LH%HUHLWVWHOOXQJQLFKWVHQVLEOHU3HUVRQHQGDWHQLP,QWHUQHWGXUFKHLQ%XQGHVRUJDQ PXVVLQHLQHUEXQGHVUlWOLFKHQ9HURUGQXQJYRUJHVHKHQVHLQ(LQHGHUDUWLJH'DWHQ SXEOLNDWLRQVROOWHIDNXOWDWLYVHLQXQGGLHEHWURIIHQHQ3HUVRQHQPÅVVWHQÅEHUGLH 5LVLNHQGHU9HU|IIHQWOLFKXQJYRQ3HUVRQHQGDWHQLP,QWHUQHWLQIRUPLHUWZHUGHQEHYRU VLHLKUH(LQZLOOLJXQJJHEHQ
Die Bereitstellung von Personendaten im Internet durch ein Bundesorgan stellt einerseits eine Bekanntgabe durch Abrufverfahren dar und erfordert eine ausreichende Gesetzesgrundlage ; andererseits handelt es sich um eine Übermittlung von Personendaten ins Ausland, auch in Staaten, die keinen gleichwertigen Datenschutz wie die Schweiz garantieren. Laut DSG muss die Bekanntgabe von nicht sensiblen Personendaten durch Abrufverfahren in einem Gesetz (mindestens in einer Verordnung des Bundesrates) ausdrücklich vorgesehen sein. Beim Internet handelt es sich um ein offenes Netz ohne zentrale Kontrollinstanz und ohne Aufsicht über die Befolgung der Datenschutzbestimmungen. Der Datenschutz wird heute in keiner internationalen Regelung garantiert. Zudem gilt nur das Recht des Landes, von welchem aus die Daten bereitgestellt werden. Die Vertraulichkeit ist nicht gewährleistet. Daten lassen sich praktisch unbegrenzt kopieren, verändern, fälschen oder sperren. Zumal die Benutzung von Internet Spuren hinterlässt, können leicht ohne Wissen der Benutzer Persönlichkeitsprofile hergestellt werden. Ausserdem ist es möglich, über das Internet in einen Computer einzudringen und die darin enthaltenen Daten zu manipulieren. Die betroffenen Personen müssen daher über die Risiken der Bereitstellung von Personendaten im Internet informiert werden, und die Publikation soll fakultativ sein. Neben der Auflage der ausreichenden Gesetzesgrundlage vertritt der EDSB die Auffassung, dass die Bereitstellung von Personendaten im Internet nach Möglichkeit fakultativ sein soll. Das bedeutet, dass die betroffenen Personen über die Risiken der Bereitstellung von Personendaten im Internet unterrichtet werden, bevor sie ihre Einwilligung erteilen, damit sie sich in voller Kenntnis der Sachlage entscheiden.
126 &DEDUHW7lQ]HULQQHQLP,QWHUQHW
&DEDUHWEHWUHLEHUHQWGHFNWHQLQOHW]WHU=HLWGDV,QWHUQHWDOV3URPRWLRQVPHGLXPIÅULKUH 8QWHUKDOWXQJVDQJHERWH:HUGHQ%LOGHUYRQ7lQ]HULQQHQGLHHLQH,GHQWLIL]LHUXQJ HUODXEHQLP5DKPHQVROFKHU,QWHUQHW$QJHERWHSXEOL]LHUWLVWHLQHYRUJlQJLJHHLQ GHXWLJH(LQZLOOLJXQJGHUEHWURIIHQHQ3HUVRQHQXQHUOlVVOLFK
Wir haben festgestellt, dass im Internet Fotos und Namen (teilweise handelt es sich um Pseudonyme) von Tänzerinnen, die in schweizerischen Cabaret- betrieben arbeiten, publiziert werden. Die abrufbaren Daten erlauben es meist, die betroffenen Personen zu identifizieren; es handelt sich somit um Personen- daten.
Durch die Internet-Publikation werden die Daten ins Ausland bekanntgegeben. Personendaten dürfen allerdings nicht ins Ausland bekanntgegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil ein Datenschutz fehlt, der dem schweizerischen gleichwertig ist. Zudem muss, wer Datensammlungen ins Ausland übermitteln will, dies dem Eidg. Datenschutzbeauftragten vorher melden, falls für die Bekanntgabe keine gesetzliche Pflicht besteht und die betroffenen Personen davon keine Kenntnis haben.
Ein Cabaretbetreiber braucht einen Rechtfertigungsgrund, um Personendaten entgegen den Datenschutzgrundsätzen zu bearbeiten. Im vorliegenden Fall kommt als einziger Rechtfertigungsgrund die eindeutige Einwilligung der betroffenen Personen in Frage. Diese Einwilligung muss von einer klaren und unmissverständlichen Information begleitet sein. Dabei ist auf den globalen Charakter des Netzes sowie auf die existierenden Sicherheitsrisiken (insbesondere Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität) hinzuweisen. Ist eine Tänzerin als betroffene Person mit einer Publikation ihrer Daten im Internet nicht einverstanden, muss dies in jedem Fall respektiert werden. Es dürfen ihr dadurch keinerlei Nachteile entstehen.
Wir haben die Cabaretbetriebe aufgefordert - wo nötig - ihre Praxis den gesetzlichen Bestimmungen anzupassen.
127 %HNDQQWJDEHYRQ3HUVRQHQGDWHQ
%HNDQQWJDEHYRQ3HUVRQHQGDWHQGXUFKHLQ%XQGHVRUJDQDQHLQH .DQWRQVEHK|UGH
$XVVHUKDOEYRQKlQJLJHQ9HUIDKUHQ6WUDI=LYLORGHU9HUZDOWXQJVYHUIDKUHQXQG PDQJHOVHLQHU5HFKWVJUXQGODJHLVWHLQ%XQGHVRUJDQQLFKWYHUSIOLFKWHWHLQHUNDQWRQDOHQ 6WHOOH3HUVRQHQGDWHQEHNDQQW]XJHEHQ,QVROFKHQ)lOOHQKDWGDV%XQGHVRUJDQQRFK]X XQWHUVXFKHQREGLH%HNDQQWJDEHGHQDOOJHPHLQHQ'DWHQVFKXW]SULQ]LSLHQJHQÅJW
Eine junge Frau hatte ein Kind von einem Mann, den sie mit Vornamen kannte. Ausserdem wusste sie, dass er an der Eidgenössischen Technischen Hochschule von Lausanne (EPFL) studierte. Laut Zivilgesetzbuch muss die Vormundschaftsbehörde (kantonale Stelle) einen Beistand ernennen, der für die Feststellung des Kindsverhältnisses zum Vater sorgt, wenn eine unverheiratete Frau ein Kind zur Welt bringt. Die Vormundschaftsbehörde wandte sich an die EPFL (Bundesorgan), um zu untersuchen, inwiefern sich die Identität des mutmasslichen Vaters ermitteln liess. Die Vormundschaftsbehörde forderte eine Liste der Studenten mit dem gesuchten Vornahmen an. Die EPFL verweigerte die Bekanntgabe der verlangten Auskünfte ausserhalb eines Verfahrens und berief sich auf den Datenschutz. Die Vormundschaftsbehörde und die EPFL ersuchten den Eidgenössischen Datenschutzbeauftragten um eine Stellungnahme. Wir schlugen eine Lösung vor, die den verschiedenen Interessen Rechnung trägt. Die numerierten Photos der Studenten mit dem gesuchten Vornahmen wurden der Mutter gezeigt. Wäre eines der Photos jenes des mutmasslichen Vaters gewesen, so wären nur Name, Vorname und Adresse der Person auf dem Photo bekanntgegeben worden. Da vorliegend kein Verfahren hängig ist, findet das DSG Anwendung. Das DSG verpflichtet die EPFL nicht zur Bekanntgabe von Personendaten ; selbst wenn die erforderlichen Voraussetzungen lückenlos erfüllt sind, muss das Bundesorgan noch nachprüfen, ob die Bekanntgabe den allgemeinen Datenschutzgrundsätzen und vor allem dem Verhältnismässigkeitsprinzip genügt. Im vorliegenden Fall stimmt die Bekanntgabe von Namen, Vornamen und Adresse mit dem Prinzip und mit den Bestimmungen zur Bekanntgabe überein. Organe des Bundes dürfen Personendaten nur bekanntgeben, wenn dafür eine gesetzliche Grundlage besteht oder wenn sie für den Empfänger wie im vorliegenden Fall für eine gesetzliche Aufgabe unentbehrlich sind. Die fragliche Bekanntgabe wurde daher als datenschutzkonform betrachtet. Wäre das Ersuchen im Rahmen eines anhängigen Verfahrens (Straf-, Zivil- oder Verwaltungsverfahren) formuliert worden, so unterstünde es nicht dem DSG, sondern den Verfahrensregeln.
128 'DWHQVFKXW]XQGUHFKWOLFKH5DKPHQEHGLQJXQJHQ (IIHNWLYLWlWGHV6FKXW]HVGHU3ULYDWVSKlUHPLWWHOV6HOEVWUHJXOLHUXQJV PRGHOOHQ 'LHHXURSlLVFKHQ'DWHQVFKXW]JHVHW]HJHEHQLQGHU5HJHOMHGHP%ÅUJHUGDV5HFKW VlPWOLFKHÅEHULKQJHVSHLFKHUWH'DWHQHLQ]XVHKHQ]XNRUULJLHUHQXQGÅEHUGLH:HLWHU YHUZHQGXQJ]XHQWVFKHLGHQ%HL0LVVEUDXFKYRQ3HUVRQHQGDWHQRGHULP6WUHLWIDOOKDWHU GLH0|JOLFKNHLWVLFKEHLHLQHUXQDEKlQJLJHQ%HK|UGH]XEHVFKZHUHQXQGRGHUVHLQH 5HFKWHJHULFKWOLFKGXUFK]XVHW]HQ,QGHQ86$KLQJHJHQJLEWHVNHLQHQJHVHW]OLFK JHUHJHOWHQ 'DWHQVFKXW] +LQJHJHQ LVW HV GRUW ÅEOLFK GDVV :LUWVFKDIWVYHUElQGH VHNWRULHOOH 9HUKDOWHQVUHJHOQ IÅU GLH %HDUEHLWXQJ YRQ EHVWLPPWHQ 3HUVRQHQGDWHQ DXIVWHOOHQ(VVWHKWGHQ0LWJOLHGHUQMHGRFKIUHLGLHVH5HJHOQ]XEHIROJHQRGHUQLFKW VRJHQDQQWH6HOEVWUHJXOLHUXQJ Selbstregulierungsmodelle zum Schutz der Privatsphäre sind durchaus wünschenswert; allerdings müssen sie gewissen Kriterien genügen, die dafür geeignet sind, einen effektiven Schutz zu gewährleisten. Bei den Selbstregulierungsmodellen für den Schutz der Privatsphäre wird die betroffene Person jeweils über beabsichtigte Bearbeitungen informiert, oder sie kann ihre Einwilligung für eine bestimmte Datenbearbeitung geben. Auf den ersten Blick könnte die Information oder das Einholen der Einwilligung der Betroffenen als optimale Lösung angesehen werden. Es ist jedoch bekannt, dass die Betroffenen in der Praxis relativ schnell bereit sind, ihre Einwilligung zu geben. Andernfalls würde ihnen in vielen Fällen der Zugang zu bestimmten Leistungen (Kreditkarten usw.) verwehrt bleiben. In Selbstregulierungs- systemen können die Betroffenen weder ihre Rechte geltend machen, noch werden deren Wünsche berücksichtigt. Insbesondere gilt dies, wenn ein Abhängigkeitsverhältnis vorliegt. Zwar ist die politisch ökonomische Struktur ein Grund dafür, dass die USA kein umfassendes Datenschutzgesetz kennen. Eine Regelung des Datenschutzes haben aber vor allem Interessenkreise der Wirtschaft verhindert. Sie behaupten, dass freiwillig aufgestellte Verhaltensregeln genügen würden. Verschiedene Studien haben jedoch gezeigt, dass derartige Verhaltensregeln selten eingehalten werden. Das wichtigste Kriterium für die Beurteilung von Verhaltensregeln zum Schutz der Privatsphäre ist deren Durchsetzbarkeit. Bei der Beurteilung der Durchsetzbarkeit spielt eine wesentliche Rolle, wie viele Verbandsmitglieder sich prozentual an die Regeln halten und ob es möglich ist, dem jeweiligen Mitglied wegen Nichteinhaltung der Verhaltensregeln Sanktionen aufzuerlegen.
129 Zudem müssen solche Verhaltensregeln transparent, d.h. in allgemein verständlicher Sprache, gestaltet werden. Die Respektierung der Verhaltensregeln müsste als Voraussetzung für die Aufnahme in den jeweiligen Wirtschaftsverband gelten. Zwingende externe Prüfungen oder Sanktionen sollten die Einhaltung der Verhaltensregeln untermauern. Schliesslich ist von entscheidender Bedeutung, dass die betrof- fenen Personen nicht auf sich selbst gestellt sein sollten, sondern Hilfe und Unterstützung erhalten. Abgesehen davon, müssen mindestens folgende Grund- prinzipien des Datenschutzes in den Verhaltensregeln enthalten sein:
130 gabe zu präzisieren sind. In einer Delegationsnorm wird der Bundesrat aufgefordert, die Modalitäten und vor allem die Verantwortung der Daten- bearbeitung, die Organisation und den Betrieb des Informationssystems oder der Datensammlung, die zu erfassenden Datenkategorien, die Aufbewahrungs- dauer, die Datenarchivierung und –vernichtung, die Zugriffsrechte, die Bearbeitungsbewilligung, die Datensicherheit und, sofern nähere Angaben erforderlich sind, die Rechte der betroffenen Personen festzulegen. Bevor das verantwortliche Organ vor allem besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet und die Schaffung einer Gesetzesgrundlage vorschlägt, prüft es gründlich, ob die Bearbeitung zur Erfüllung seiner gesetzlichen Aufgabe erforderlich ist, und welche Zielsetzungen angestrebt werden ; nach Massgabe der Zielsetzungen bestimmt das Organ, ob und inwiefern Personendaten unentbehrlich sind (siehe auch 5. Tätigkeitsbericht 1997/98, S. 82ff.). Beim Inkrafttreten des Bundesgesetzes über den Datenschutz wurden bereits mehrere Sammlungen mit sensiblen Daten oder Persönlichkeitsprofilen von den Bundesorganen verwaltet. Nicht alle Sammlungen beruhten auf ausreichenden gesetzlichen Grundlagen. Der Gesetzgeber berücksichtigte diese Sachlage und gewährte den Bundesorganen eine fünfjährige Übergangsfrist, die am 30. Juni 1998 ablief. Danach hätten Sammlungen mit noch nicht angepasster Gesetzes- grundlage als unrechtmässig erklärt und nicht länger benützt werden sollen. Im Rahmen der Prüfung der Botschaft vom 17. September 1997 betreffend Schaffung und Anpassung gesetzlicher Grundlagen für Personenregister (Änderung des Strafgesetzbuches sowie Änderungen des Strassenverkehrs- gesetzes und des Bundesgesetzes vom 7. Oktober 1994 über die kriminal- polizeilichen Zentralstellen des Bundes ; BBl 1997 IV 1293 ; siehe auch S. 17 des vorliegenden Berichts und 5. Tätigkeitsbericht 1997/98, S. 12) stellte der Ständerat fest, dass die Bundesorgane mit der Anpassung der Gesetzes- grundlagen in Verzug geraten waren und den Termin vom 30. Juni 1998 nicht würden einhalten können. Als Ausweg schlug der Ständerat eine Veränderung des DSG vor, welche die Übergangsfrist um zwei Jahre verlängert. Am 26. Juni 1998 verabschiedete die Bundesversammlung schliesslich einen Bundesbeschluss zur Verlängerung der Frist bis zum 31. Dezember 2000 (AS 1998 1586). Der Bundesrat beauftragte die Departemente, ein Inventar der Sammlungen mit besonders schützenswerten Daten oder Persönlichkeits- profilen, für welche angemessene Rechtsgrundlagen noch fehlen, zu erstellen. Das Inventar wurde dem Bundesrat im Juni 1998 vorgelegt. Die Bundeskanzlei wurde beauftragt, in Zusammenarbeit mit den betroffenen Departementen in einer Botschaft an das Parlament die erforderlichen Gesetzesanpassungen zusammenzustellen. Die Botschaft betrifft die Sammlungen zur Kontrolle und Geschäftsführung der Angelegenheiten der Bundesverwaltung, die Sammlungen des Eidgenössischen Departements für auswärtige Angelegenheiten, einige Sammlungen des Eidgenössischen Departements für Verteidigung,
131 Bevölkerungsschutz und Sport sowie die Bereiche Gesundheits-, Zoll-, Steuer-, Personal-, Wohnungswesen, Zivildienst und Jagd. Das Eidgenössische Departement des Innern bereitet ebenfalls eine Botschaft betreffend die Gesetzesanpassungen im Sozialversicherungsbereich vor (siehe auch S. 70 des vorliegenden Berichts). Der EDSB beteiligt sich an diesen Arbeiten. ©2QOLQH™9HUELQGXQJHQ±9HUVWlUNXQJGHV'DWHQVFKXW]HV $P 1RYHPEHU YHUDEVFKLHGHWH GLH HVFKlIWVSUÅIXQJVNRPPLVVLRQ GHV 6WlQGHUDWHVHLQH0RWLRQLQGHUVLHGHQ%XQGHVUDWDXIIRUGHUWHGHQ(LGJHQ|VVLVFKHQ 5lWHQHLQH5HYLVLRQGHV%XQGHVJHVHW]HVÅEHUGHQ'DWHQVFKXW]]XXQWHUEUHLWHQ=LHOGHU 5HYLVLRQVROOVHLQIÅUDOOH©2QOLQH™9HUELQGXQJHQVHOEVWIÅU3LORWSURMHNWHJHVHW]OLFKH UXQGODJHQYRU]XVFKUHLEHQXQGIÅUGLHHVXFKHXQG(LQULFKWXQJHQYRQ©2QOLQH™ 9HUELQGXQJHQPLWGHQ,QIRUPDWLNV\VWHPHQGHV%XQGHV0LQGHVWYRUVFKULIWHQIHVW]XOHJHQ ZHOFKHGLH=XVDPPHQDUEHLW]ZLVFKHQ%XQGXQG.DQWRQHQYHUEHVVHUQ'HU%XQGVROOWH GHQ=XJULIIGLH%HQXW]XQJGHQ6FKXW]XQGGLH.RQWUROOHVHLQHU'DWHQEDQNHQUHJHOQ 'HU%XQGHVUDWDQHUNHQQWHLQHQbQGHUXQJVEHGDUIGHV'6VFKOlJWMHGRFKYRUGLH 0RWLRQLQHLQ3RVWXODWXP]XZDQGHOQ'HU(6'%VWLPPWGLHVHP$QWUDJ]X Im Rahmen der Inspektion der Online-Verbindungen im Bereich des Polizei- wesens (siehe S. 40 des vorliegenden Berichts) verabschiedete die Geschäftsprüfungskommission des Ständerates eine Motion, in der sie den Bundesrat ersuchte, eine Änderung des DSG vorzubereiten mit dem Ziel, für alle « Online »-Verbindungen, selbst für Pilotprojekte, gesetzliche Grundlagen vorzugeben. Die Veränderung sollte auch die Mindestnormen für den Zugriff der Kantone auf die Informatiksysteme festlegen und so Zugriff, Benutzung, Schutz und Kontrolle der Datenbanken des Bundes regeln. Gemäss dem DSG können die Bundesorgane Personendaten nicht ohne gesetzliche Grundlage bearbeiten. Die Bearbeitung von besonders schützenswerten Daten oder Persönlichkeitsprofilen muss in einem formellen Gesetz ausdrücklich vorgesehen sein. Eine ausdrückliche Gesetzesgrundlage ist auch erforderlich, wenn Daten durch ein Abrufverfahren (Online-Zugriff, Selbstbedienungsprinzip) zugänglich sind. Das DSG unterscheidet nicht zwischen dauerhafter und versuchsweiser Bearbeitung im Rahmen eines Pilot- projektes. Diese Lage schafft praktische Probleme, vor allem wenn ein Pilot- projekt die Bearbeitung und Bekanntgabe von sensiblen Daten oder von Persönlichkeitsprofilen erfordert. Ein Pilotprojekt soll grundsätzlich ermöglichen, ein System zu testen, die Bedürfnisse zu evaluieren, die Tragweite
132 der zur Aufgabenerfüllung erforderlichen Personendaten genau anzugeben und die Behörden zu bezeichnen, die am System mitwirken bzw. an welche die Daten bekanntzugeben sind. Für diese Projektart kann vor Ablauf der Testphase schwerlich eine formelle Gesetzesgrundlage geschaffen werden. Die strikte Befolgung des Erfordernisses einer formellen Gesetzesgrundlage kann zu einer allzu breiten Reglementierung führen und unnötige Zugriffe legitimieren, was den Datenschutz aufweichen würde. Ausserdem müssen bisweilen aus Dringlichkeitsgründen Bearbeitungen oder Zugriffe vor der Einführung der gesetzlichen Grundlagen oder parallel zu ihrer Vorbereitung durchgeführt bzw. gewährt werden. Die in Artikel 17 Absatz 2 DSG vorgesehenen Ausnahme- bestimmungen vom Erfordernis eines formellen Gesetzes für die Bearbeitung besonders schützenswerter Personendaten oder Persönlichkeitsprofilen sind dieser Lage nicht angemessen. Daher müssen wir solche Projekte mangels einer ausreichenden Rechtsgrundlage negativ beurteilen, selbst wenn die Bearbeitungen den sonstigen Erfordernissen des Datenschutzes genügen. Ohne das im DSG vorgesehene Kriterium der Gesetzmässigkeit in Frage zu stellen, vertreten wir die Auffassung, dass die Möglichkeit der Pilotprojekte eingeräumt werden und in bestimmten Fällen Zugriffe auf Informationssysteme noch vor der Schaffung von Rechtsgrundlagen gewährt werden sollte. Um die Durchführung von Pilotprojekten zu ermöglichen, schlagen wir namentlich folgende Änderung des DSG vor : « Art. 17bis Bearbeitungsbewilligung» 1Auf Ersuchen eines Bundesorgans und nach Konsultation des betroffenen Departements oder der Bundeskanzlei kann der Eidgenössische Datenschutz- beauftragte die Bearbeitung schützenswerter Daten oder Persönlichkeitsprofile bewilligen, bevor die Bedingungen für die Bearbeitung laut Artikel 17 Absatz 2 und Artikel 19 Absatz 3 erfüllt sind, wenn: ein wichtiger Grund im öffentlichen Interesse es rechtfertigt, die Aufnahme der Bearbeitung nicht zu verzögern; eine Pilotphase vor der Verabschiedung eines Gesetzes im formellen Sinn unentbehrlich ist. 2Der Datenschutzbeauftragte kann die Bewilligung an Bedingungen und Auflagen knüpfen. Ausserdem kann er sie zeitlich befristen und an die Verabschiedung bzw. Veränderung einer Verordnung des Bundesrates knüpfen. 3Der Entscheid des Datenschutzbeauftragten kann vom ersuchenden Bundesorgan, vom Departement oder von der Bundeskanzlei der Eidgenössischen Datenschutzkommission vorgelegt werden. Rechtsmittel gegen einen Entscheid der Kommission sind ausgeschlossen. » Diese Bestimmung sollte fünf Jahre nach dem Inkrafttreten evaluiert werden.
133 Was den zweiten Teil der Motion der Geschäftsprüfungskommission des Ständerates anbelangt, so gilt das DSG nur für die von Bundesorganen oder Privatpersonen durchgeführte Bearbeitung von Personendaten und ist grundsätzlich nicht auf die Bearbeitung durch Kantonsorgane anwendbar, selbst im Vollzug von Bundesaufgaben nicht. Die Bearbeitungen unterstehen indessen dem Bundesrecht, wenn die Kantonsorgane keinen kantonalen Datenschutz- vorschriften unterworfen sind. Ausserdem haben die Kantone ein Organ zu benennen, das für die Einhaltung des Datenschutzes sorgt. Die kantonale Autonomie im Datenschutz ergibt sich aus der Organisations- autonomie der Kantone, einem grundlegenden Prinzip des schweizerischen Föderalismus. Aus der Perspektive des Datenschutzes erscheint die Verschiedenartigkeit der Regelungen, die sich daraus ergeben, nicht befriedigend, selbst wenn der Bundesgesetzgeber die kantonale Autonomie im Datenschutz bereits mehrmals eingeschränkt hat, um ein zu niedriges Schutzniveau bei der Bekanntgabe von Daten an Kantonsbehörden zu vermeiden. Derzeit verfügen nur 17 Kantone über ein Datenschutzgesetz. Ausserdem haben noch nicht alle die im DSG geforderte Datenschutzbehörde eingerichtet. Wo die kantonale Behörde bereits existiert, besitzt sie ungefähr gleichwertige Befugnisse wie der Eidgenössische Datenschutzbeauftragte. In der Regel fehlen diesen Behörden die zur Aufgabenerfüllung erforderlichen Infrastrukturen und Mittel. Mit dem zunehmenden Datenaustausch zwischen Bund und Kantonen - vor allem mit dem Zugriff der Kantons- und Gemeinde- behörden durch ein Abrufverfahren auf die Informationssysteme des Bundes - sind mangels eines ausreichenden Schutzstandards Probleme nicht auszuschliessen. Daher befürworten wir die Bestimmung eines einzuhaltenden Schutzstandards durch den Bundesgesetzgeber für die Bereiche Zugriff, Bearbeitung, Sicherheit und Kontrolle der in den Bundesdatenbanken gespeicherten und von Kantons- und Gemeindeorganen benützten Daten. Mangels kantonaler Datenschutz- vorschriften sollte ausserdem subsidiär eine etwaige Erweiterung des DSG- Geltungsbereichs auf die in Vollzug von Bundesaufgaben durchgeführten (Art. 37 DSG) und auf alle anderen Bearbeitungen der Kantons- oder Gemeinde- organe erwogen werden.
134 %HVFKZHUGHEHIXJQLVGHV(LGJHQ|VVLVFKHQ'DWHQVFKXW]EHDXIWUDJWHQ 'HU%XQGHVUDWZLHVGLH0RWLRQYRQ1DWLRQDOUlWLQYRQ)HOWHQ]XUÅFNZHOFKHHLQH %HVFKZHUGHEHIXJQLVIÅUGHQ(LGJHQ|VVLVFKHQ'DWHQVFKXW]EHDXIWUDJWHQLP%HUHLFK $XIVLFKWÅEHUGLH%XQGHVRUJDQHYHUODQJWH'HU('6%ZXUGHDXIJHIRUGHUWVLFKGD]X]X lXVVHUQXQGEHIÅUZRUWHWHGLH$QQDKPHGHU0RWLRQ Das Bundesgerichts entschied (BGE 123 II 542), dass dem EDSB keine Beschwerdebefugnis gegen einen Departementsentscheid, der eine EDSB- Empfehlung zurückwies, zukommt (siehe 5. Tätigkeitsbericht 1997/98, S. 20). Daher ersuchte Nationalrätin von Felten den Bundesrat in einer Motion, « ... Rechtsgrundlagen für ein Beschwerderecht des Datenschutzbeauftragten im Bereich Aufsicht über Bundesorgane vorzulegen. » In seiner Antwort beantragt der Bundesrat, die Motion zurückzuweisen. Als Begründung führt er Folgendes an : « Obwohl der Datenschutzbeauftragte nicht über die Befugnis verfügt, gegen den Entscheid eines Departements Beschwerde zu erheben, ist er nicht ohne jegliche Handlungsinstrumente. Insbesondere kann er in Fällen von allgemeinem Interesse die Öffentlichkeit über seine Feststellungen und seine Empfehlungen informieren. ... Wie das Bundesgericht ... hervorhebt, sollen nach schweizerischen Staatsverständnis Meinungsverschiedenheiten zwischen Behörden ein- und desselben Staatswesens nicht auf dem Weg der Verwaltungsrechtspflege, sondern durch die übergeordneten politischen Behörden geregelt werden. » Wir wurden aufgefordert, im Rahmen der Ämterkonsultation Stellung zu nehmen und beantragten die Annahme der Motion (siehe dazu S. 181 im Anhang). Dabei betonten wir insbesondere Folgendes : In der schweizerischen Rechtsordnung ist es nicht ausgeschlossen, dass eine Rechtsinstanz in Konflikten zwischen Behörden derselben öffentlichen Körperschaft entscheidet. Der EDSB verfügt so über eine Beschwerdebefugnis gegen die Entscheide der Sachverständigenkommission für das Berufs- geheimnis in der medizinischen Forschung. Ausserdem kann er vorsorgliche Massnahmen beim Präsidenten der Eidgenössischen Datenschutzkommission gegen ein Bundesorgan anfordern, wenn er aufgrund von Nachforschungen feststellt, dass der betroffenen Person ein schwer wiedergutzumachender Schaden droht. Beim EDSB handelt es sich um ein spezifisches Organ, das seine Aufgaben autonom erfüllt. Er untersteht nicht der Aufsicht eines Departements oder der Bundeskanzlei. Wenn indessen ein Departement oder die Bundeskanzlei beauftragt wird, zwischen dem EDSB und einem Bundesorgan, an das eine
135 Empfehlung gerichtet wurde, zu entscheiden, wird der EDSB einer Gesetz- mässigkeitskontrolle durch ein Organ unterworfen, das seinerseits seiner Aufsicht untersteht. Dies läuft dem Autonomiestatus des EDSB zuwider. Der Datenschutz betrifft hohe Rechtsgüter. Daher rechtfertigt es sich, den EDSB zu befähigen, nicht befolgte oder zurückgewiesene Empfehlungen zum Entscheid an eine andere Instanz weiterzuleiten. Die betroffenen Personen können zwar gegen Entscheide eines Departements oder der Bundeskanzlei Beschwerde erheben ; das setzt aber eine genügende Unterrichtung der betroffenen Personen über die Verletzungen, deren Behebung der EDSB empfohlen hat, voraus. Falls der Beteiligte sich nicht selbst in das Verfahren eingeschaltet hat, wird er seine Rechte nur sehr schwer wahrnehmen können. Angesichts der sehr komplexen und technischen Informationssysteme kann er auch nicht immer beurteilen, ob sie den Datenschutzauflagen genügen. Das Parlament hat im Übrigen diese Schwierigkeit anerkannt und den EDSB befugt, zum Einen seine Empfehlungen im Privatsektor der Eidgenössischen Datenschutzkommission vorzulegen und zum Anderen Beschwerde gegen die Entscheide der Sachverständigenkommission für das Berufsgeheimnis in der medizinischen Forschung zu erheben. Erheben die betroffenen Personen keine Beschwerde, so bleiben Empfehlungen, die das anvisierte Bundesorgan, das Departement oder die Bundeskanzlei ablehnt, selbst bei Verletzung der Datenschutzvorschriften unwirksam. Die festgestellten Lücken und Mängel bleiben weiterhin bestehen. Im aktuellen System wird die Rechtssicherheit durch eine einheitliche Praxis nicht gewährleistet. Wenn der EDSB befugt wäre, auch seine Empfehlungen an Bundesorgane der Eidgenössischen Datenschutzkommission vorzulegen, könnte die Rechtsanwendung vereinheitlicht und die Rechtssicherheit verbessert werden. Wenn ein Departement oder die Bundeskanzlei an der Bearbeitung von Personendaten beteiligt ist, welche Gegenstand einer Empfehlung des EDSB bilden, sind sie sowohl Richter als auch Partei. Die Übertragung von öffentlichen Aufgaben an Private, die Privatisierung bestimmter Tätigkeiten und die Vermischung von gesetzlichen Aufgaben mit privatrechtlichen Aktivitäten erschweren die Unterscheidung zwischen Bundes- organ und Privatperson zunehmend. Eine Empfehlung kann gleichzeitig ein Bundesorgan und eine Privatperson betreffen, was ein identisches Verfahren rechtfertigt. Die Tendenz in Europa und insbesondere in der Europäischen Union (mit der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) zielt auf eine Verstärkung der Kompetenzen der Behörden, welche die Anwendung der Datenschutzvorschriften überwachen. Die Richtlinie unterscheidet nicht zwischen öffentlichem und privatem Sektor. Sie sieht insbesondere die Prozessfähigkeit für Datenschutzorgane bei Verletzung von datenschutzrechtlichen Bestimmungen vor.
136 $QZHQGXQJ GHV %XQGHVJHVHW]HV ÅEHU GHQ 'DWHQVFKXW] DXI HUVWLQVWDQ]OLFKH9HUZDOWXQJVYHUIDKUHQ (UVWLQVWDQ]OLFKH 9HUZDOWXQJVYHUIDKUHQ XQWHUVWHKHQ GHP %XQGHVJHVHW] ÅEHU GHQ 'DWHQVFKXW](LQ]LJVWUHLWLJH9HUZDOWXQJVYHUIDKUHQZHUGHQQLFKWYRPHOWXQJVEHUHLFK GHVHVHW]HVHUIDVVW Diese Lösung erscheint manchen unlogisch und mag vor allem hinsichtlich des Auskunftsrechts und der Datenbekanntgabe praktische Schwierigkeiten aufwerfen. Es handelt sich dabei indessen um positive Kompetenzkonflikte, welche die ordentliche Rechtsanwendung nicht verhindern und weder die Verwaltungstätigkeit noch die Entscheidungsfindung beeinträchtigen. Wir haben bislang keine erheblichen praktischen Probleme für Bundesorgane festgestellt, die sich aus dem DSG und aus dem Bundesgesetz über das Verwaltungsverfahren erklären liessen. Der Gesetzgeber kannte zwar die Risiken und positiven Konflikte, vertrat aber die Meinung, dass die Interessen der betroffenen Person vorgehen sollten. « Würde auch die erstinstanzliche Verwaltungstätigkeit im Sinne des Verwaltungsverfahrensgesetzes dem Datenschutzgesetz nicht unterstellt, so bestünde die Gefahr, dass es in weiten Bereichen des Verwaltungshandelns für die Betroffenen keine Datenschutzgarantien gäbe. Das Verwaltungsverfahrens- gesetz findet nämlich grundsätzlich Anwendung in allen Verwaltungssachen, die durch Verfügungen erledigt werden. Da die meisten Verwaltungstätikeiten in eine Verfügung münden können, vermöchten sich die Organe des Bundes unter Umständen zu leicht ihren Datenschutzplichten zu entziehen.» (BBl 1988 II 443). Es fragt sich, ob das Ausklammern der anhängigen Verfahren aus dem Geltungsbereich des DSG eine angemessene Lösung darstellt und ob die Verfahren nicht dem DSG oder zumindest der Aufsicht des EDSB unterstellt werden sollten, selbst wenn dies einige spezifische Ausnahmebestimmungen vom DSG erfordert.
137 %HVFKZHUGHLQVWDQ] EHL 9HUIÅJXQJHQ LQ GDWHQVFKXW]UHFKWOLFKHQ )UDJHQ :RHLQHVFKZHUJHZLFKWLJHGDWHQVFKXW]UHFKWOLFKH6WUHLWIUDJHYRUOLHJWLVWXQDEKlQJLJYRQ GHU$QJDEHGHVRUGHQWOLFKHQ5HFKWVZHJHVDXFKGHU:HJDQGLH(LGJ'DWHQVFKXW] NRPPLVVLRQLQGLH5HFKWVPLWWHOEHOHKUXQJ]XZHLVHQ Das Bundesamt für Wirtschaft und Arbeit (BWA) hat uns die Frage gestellt, inwieweit die Eidg. Datenschutzkommission im Rahmen von Rekurs- und Beschwerdeverfahren vor den arbeitslosenversicherungsrechtlichen Beschwerdeinstanzen in Fragen des Datenschutzes auch zuständig sei. Die Frage stellt sich allgemein auch für andere Bundesorgane, welche Beschwerden und Rekurse mit Datenschutzaspekten vor der departementseigenen Rekurs- kommissionen einleiten. Wir haben die Fragen an die Eidg. Datenschutz- kommission selber weitergeleitet, welche folgende Antwort gegeben hat (Zusammenfassung): Bei Erlass des Datenschutzgesetzes des Bundes 1992 hatte der Bundesgesetz- geber eindeutig das Konzept, dass datenschutzrechtliche Streitigkeiten mit Bundesorganen über die Anwendung öffentlichrechtlicher Datenschutzbestim- mungen des Bundes nicht in den jeweiligen bereichsspezifischen Rechtsmittel- verfahren entschieden werden sollten, sondern dass diese datenschutz- rechtlichen Streitigkeiten grundsätzlich alle vor die Eidg. Datenschutz- kommission gebracht werden sollten, und dass von dieser in allen Sachbereichen des Bundesverwaltungsrechtes ein Weiterzug mit Verwaltungs- gerichtsbeschwerde an das Bundesgericht zu eröffnen sei. Das ergibt sich aus Art. 25 Abs. 5 DSG sowie aus dem heutigen Art. 100 Abs. 2 lit. a des Bundes- gesetzes über die Organisation der Bundesrechtspflege (OG). Vorbehalten bleiben nur ausdrückliche gesetzliche Sonderregeln wie sie jetzt (nur) das Bundesgesetz vom 21. März 1997 über Massnahmen zur Wahrung der inneren Sicherheit kennt. Bei Erlass des Datenschutzgesetzes wurden keine umfassenden Anpassungen des Verwaltungsrechtes des Bundes beschlossen, weder bezüglich der materiellen Datenschutzvorschriften noch bezüglich des Rechtsschutzes. Mit dem Anhang (Änderungen von Bundesgesetzen) zum DSG wurden nur ganz wenige zentrale materielle Normen in andere Bundesgesetze eingefügt. Erst im Nachhinein wird jetzt in der Bundesgesetzgebung punktuell eine Änderung von Verfahrensbestimmungen vorgenommen. Dass der Bundes- gesetzgeber 1992 keine generelle Rechtsbereinigung in materiellrechtlicher oder verfahrensrechtlicher Beziehung vorgenommen hat, ist voll verständlich, weil das Datenschutzrecht als Querschnittsmaterie sehr viele verschiedene bundesverwaltungsrechtliche Regelungen betrifft und weil namentlich auch erst in der Praxis ermittelt werden muss, was eine schwergewichtige datenschutz- rechtliche Streitfrage ist und was eben nicht. In Anwendung des DSG und
138 weiterer Datenschutzvorschriften des Bundes sind die Bundesorgane demnach immer wieder aufgerufen, im Wege der Auslegung Normkonflikte zu entscheiden. In BGE 123 II 534 führt das Bundesgericht zum Konflikt zwischen Datenschutzgesetz und Unfallversicherungsgesetz aus: «Das Datenschutzgesetz und die Datenschutzverordnung sind jünger als das Unfallversicherungsgesetz und Unfallversicherungsverordnung. Ein jüngerer Erlass geht grundsätzlich einem älteren auch dann vor, wenn der ältere nicht formell aufgehoben oder abgeändert wird (lex posterior derogat legi priori). Dass beim Erlass des Datenschutzgesetzes die Bestimmungen des Unfallversicherungsgesetzes und der Unfallversicherungsverordnung über die Akteneinsicht nicht geändert wurden, begründet daher keinen Vorrang der unfallversicherungsrechtlichen Vorschriften.» Das Bundesgericht führt weiter aus: «Datenschutzrechtliche Fragen können sich als Querschnittsproblem im Rahmen eines bestimmten Verfahrens stellen, das hauptsächlich andere, beispielsweise sozial- versicherungsrechtliche, Ansprüche zum Gegenstand hat. In diesem Fall sind die datenschutzrechtlichen Aspekte zusammen mit den jeweiligen spezial- gesetzlich geregelten Fragen in den entsprechenden Verfahren zu beurteilen (...). Sie können aber auch als selbständige Sachentscheide unabhängig von einem anderen Verfahren aufgeworfen werden und unterliegen dann der Beschwerde an die Eidg. Datenschutzkommission, deren Entscheide mit Verwaltungsgerichtsbeschwerde an das Bundesgericht weitergezogen werden können». Es ist aber nach den Regelungen von Art. 25 und 33 DSG klar, das spezifische Datenschutzbestimmungen auch z. B. im Sozialversicherungsrecht niedergelegt sein können und dass die darüber auftretenden Streitigkeiten im bundesrechtlichen Spezialverfahren nach DSG und OG zu entscheiden sind. Für das System von Art. 17ff DSG ist es geradezu typisch, dass das allgemeine Datenschutzgesetz des Bundes durch bereichspezifische datenschutzrelevante Normen ergänzt wird und ergänzt werden muss. Dort, wo eine schwergewichtige datenschutzrechtliche Streitfrage vorliegt, ist die Rechts- mittelbelehrung zu ändern und den Weg an die Eidg. Datenschutzkommission zu weisen. Diese spezielle Rechtsmittelbelehrung hat überall dort zu erfolgen, wo klar feststeht, dass es schwergewichtig um eine datenschutzrechtliche Streitigkeit geht. Im Anwendungsbereich des Arbeitslosenversicherungsrechtes scheinen solche schwergewichtig datenschutzrechtliche Streitigkeiten etwa zu sein: persönlichkeitsschutzrelevante Auskünfte der Arbeitslosenversicherungs- organe, soweit sie nach Art. 97 Abs. 2 AVIG zulässig sind, oder Auskunftsbe- gehren einer versicherten Person nach Art. 126 Abs. 2 AVIV und nach Art. 8 DSG. In solchen Fällen ist eine Änderung der Rechtsmittelbelehrung geboten, und zwar aus folgenden Gründen: Erstens besteht wie erwähnt neben Art. 101 AVIG gleichrangig die Rechtsmittelbelehrung von Art. 25 und 33 DSG. Zweitens ist mit der Pflicht zur Rechtsmittelbelehrung in Art. 35 VwVG eine richtige Rechtsmittelbelehrung gemeint. Wenn eine Behörde wider besseres Wissen eine unrichtige Rechtsmittelbelehrung angibt, verstösst sie gegen den Grundsatz der Wahrung von Treu und Glauben. Wenn eine betroffene private
139 Partei sich nach der bundesgerichtlichen Rechtsprechung nicht mit Erfolg auf eine unzutreffende Rechtsmittelbelehrung berufen darf, sondern offensichtlich gegen Treu und Glauben verstösst, wenn sie die Unrichtigkeit der Rechtsmittel- belehrung kennt oder bei gebührender Sorgfalt hätte erkennen müssen (BGE 121 II 278), so würde eine Behörde erst recht einen Rechtsverstoss begehen, wenn sie offfensichtlich unrichtige Rechtsmittelbelehrung anbringt. Vorbehalten bleiben allerdings, wie erwähnt, die Fälle, wo es keineswegs eindeutig ist, dass schwergewichtig eine rein datenschutzrechtliche Streitfrage vorliegt. 'DWHQVFKXW]XQG'DWHQVLFKHUKHLW 'LH5HYLVLRQGHU9HURUGQXQJGHV3HUVRQDOLQIRUPDWLRQVV\VWHPVGHU $UPHH3,6$XQGGLH8PVHW]XQJGHU'DWHQVFKXW]XQG'DWHQ VLFKHUKHLWVDQOLHJHQ (QGHZXUGHGDV3URMHNW©3,6$6HFXULW\™XQG0LWWHGLH5HYLVLRQGHU9HU RUGQXQJÅEHUGDVPLOLWlULVFKH.RQWUROOZHVHQ9P.3,6$LQGHU8QWHUJUXSSH3HU VRQHOOHVGHU$UPHHDQJHJDQJHQ:LFKWLJH5HYLVLRQVJUÅQGHZDUHQGDEHL)UDJHQDXVGHQ )DFKJHELHWHQXQGGHV'DWHQVFKXW]HVVRZLH4XDOLWlWVXQG'DWHQVLFKHUKHLWVIUDJHQ'HU ,QKDEHUGHU'DWHQVDPPOXQJQDKPGLHLKPYRP3DUODPHQWDXIHUOHJWH9HUDQWZRUWXQJ ZDKUXQGVHW]WHGLHQRWZHQGLJHQ3URMHNWRUJDQLVDWLRQHQHLQ Das Personalinformationssystem der Armee (PISA) weist heute in etwa die folgenden – für die Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen – angemessenen und erforderlichen Sicherheits- vorkehrungen auf:
140 Einige wenige Organisationseinheiten von Bund und Kantonen, welche das PISA einsetzen, konnten – obwohl bereits frühzeitig durch die Untergruppe Personelles der Armee informiert – die vorgegebenen Sicherheitsmassnahmen nicht rechtzeitig umsetzen. Mit diesen Organisationseinheiten wurde ein weiterer späterer Termin vereinbart, damit die notwendigen Sicherheitsmass- nahmen doch noch umgesetzt werden können. Die Revision der PISA-Verordnung haben wir soweit als möglich begleitet, um das gesamthafte Kontrollwesen der Armee besser verstehen zu können. Gerade «informelle Informationen», die in Diskussionen auftauchten und in vielen Fällen nicht dokumentiert sind oder für Aussenstehende nicht bekannt waren, konnten viel zum Verständnis beitragen. Auf diese Weise gelang es uns, kon- krete und datenschutzkonforme Lösungsvorschläge zu unterbreiten, die in vielen Fällen Eingang in die revidierte Verordnung fanden. Namentlich bei den folgenden Punkten konnten wir aber die Argumente des VBS nicht nachvollziehen: Bei der Herkunft der Daten wird der Begriff Dritte aufgeführt. Aus der Sicht des Datenschutzes als auch aus Transparenzgründen haben wir eine abschliessende Aufzählung bzw. Umschreibung der Dritten verlangt. Leider wurden unsere An- regungen nicht aufgenommen, so dass die Herkunft der Daten nach wie vor viel zu offen formuliert ist. Bei der befristeten Aufbewahrung als auch bei der Bekanntgabe der aufbe- wahrten Daten haben wir darauf hingewiesen, dass die Anzahl der Daten für die ideellen nicht kommerziellen Zwecke viel zu umfangreich ist (rund 43 Daten- felder, inkl. Dienstetat, welcher besonders schützenswerte Personendaten bein- halten). Leider konnten wir auch in diesem Fall unsere Anliegen nicht genügend einbringen. 'LH $QRQ\PLVLHUXQJ YRQ 3HUVRQHQGDWHQ PLW +LOIH YRQ 9HU VFKOÅVVHOXQJVYHUIDKUHQEHLGHU6R]LDOKLOIHVWDWLVWLN ,P5DKPHQGHU6R]LDOKLOIHVWDWLVWLNZHUGHQGLH'DWHQGH]HQWUDOLQGHQ*HPHLQGHQHUKR EHQXQGGDQQGHP%XQGHVDPWIÅU6WDWLVWLN%)6IÅUGLHZHLWHUH%HDUEHLWXQJ]XJHVWHOOW $XVGHU6LFKWGHV'DWHQVFKXW]HVPÅVVHQGLH'DWHQXDP|JOLFKVWUDVFK±VREDOGHVGHU =ZHFNGHV%HDUEHLWHQVHUODXEWDQRQ\PLVLHUWZHUGHQ'DGXUFKVROOHLQ5ÅFNVFKOXVVDXI GLHHLQ]HOQHQ3HUVRQHQQXUQRFKLQGHQ(UKHEXQJVVWHOOHQZRGLH'DWHQRKQHKLQEH NDQQWVLQGP|JOLFKVHLQ)ÅUGLH8PVHW]XQJGLHVHU$QOLHJHQELHWHQVLFK&KLIIULHUYHU IDKUHQDQRKQHGDVVGDEHLGLHVWDWLVWLVFKH'DWHQEHDUEHLWXQJEHHLQWUlFKWLJWZLUG
141 Das BFS stellt den Gemeinden ein System zur Verfügung, welche es er- möglicht, die notwendigen Daten für die Sozialhilfestatistik in elektronischer Form aufzunehmen. Aus Geheimhaltungsgründen sind die Daten bei der Über- mittlung an das BFS zu chiffrieren. Man verwendet dafür ein asymmetrisches und ein symmetrisches Verschlüsselungsverfahren; das symmetrische für die Chiffrierung der Daten und das asymmetrische für die Chiffrierung der symme- trischen Schlüssel. Asymmetrische Chiffrierverfahren zeichnen sich dadurch aus, dass für die Chif- frierung und Dechiffrierung unterschiedliche Schlüssel verwendet werden. Der Chiffrierschlüssel (öffentlicher Schlüssel) ermöglicht z. B. nur die Chiffrierung der Daten, nicht aber deren Dechiffrierung (geheimer Schlüssel). Der öffent- liche Schlüssel ist für alle am System beteiligten verfügbar. Wenn einem Emp- fänger Daten verschlüsselt übermittelt werden, sind die Daten mit dem öffentli- chen Schlüssel des Datenempfängers zu chiffrieren. Dieser ist dann in der Lage, diese verschlüsselten Daten mit seinem geheimen Schlüssel zu entschlüsseln. Symmetrische Verschlüsselungsverfahren zeichnen sich dadurch aus, dass nur ein Schlüssel für die Ver- bzw. Entschlüsselung notwendig ist und dass die be- nötigte «Chiffrierrechnerleistung» viel geringer ist als bei asymmetrischen Ver- fahren. Die Daten werden im vorliegenden Projekt in identifizierende Daten (Name, Vorname, Strasse, ...) und Nutzungsdaten (Daten, welche die Personen nicht identifizieren) eingeteilt. Die Nutzungsdaten sind eigentlich die Angaben, wel- che für die Statistik von Interesse sind. Es werden zwei Schlüsselpaare (asym- metrische Chiffrier- und Dechiffrierschlüssel) vom jeweiligen Benutzer - im vorliegenden Falle dem BFS – erzeugt, weil die Identifikations- als auch die Nutzdaten unterschiedlich verschlüsselt werden sollen. Das BFS gibt die beiden Chiffrierschlüssel (öffentliche Schlüssel) jeder Erfassungsinstanz bekannt und behält die beiden geheimen Dechiffrierschlüssel (private Schlüssel) für sich. Bei den Erhebungsstellen werden nun die Identifikations- als auch die Nutzungsdaten mit dem leistungsfähigen symmetrischen IDEA- Algorithmus je mit einem unterschiedlichen Schlüssel chiffriert. Danach werden die zwei er- zeugten symmetrischen Schlüssel je mit einem der beiden öffentlichen Schlüssel des asymmetrischen Chiffrierverfahrens verschlüsselt, um die Daten (inkl. symmetrischen Schlüsseln) in sicherer Weise dem BFS zuzustellen. Das BFS ist nun aufgrund der beiden privaten asymmetrischen Schlüssel in der Lage, die beiden übertragenen symmetrischen Schlüssel zu entschlüsseln und mit Hilfe derer die Daten zu entschlüsseln. Danach werden die identifizierenden Daten mit Hilfe des symmetrischen Verfahrens in der gemeinsamen Datenbank, in der alle erhobenen Daten zusammengefasst werden, verschlüsselt und damit anonymisiert. Dieser Prozess muss aus Sicherheitsgründen mit minimalster zeitlicher Verzögerung ablaufen, damit keine identifizierenden Daten im Klar- text auf dem System vorhanden sind. Die Lösung beruht auf Vertrauen einer Instanz bzw. Person. Das BFS wird im Besitze von Schlüsseln sein, welche es erlauben, die anonymisierten Daten zu
142 deanonymisieren. Wir haben das Bundesamt für Statistik darauf aufmerksam gemacht, dass wir ihr Vorgehen im Projekt begrüssen. Im Weiteren wiesen wir darauf hin, dass die Rückgängigmachung der anonymisierten Daten im BFS nur kontrolliert erfolgen soll. Insbesondere muss der Zweck einer Deano- nymisierung festgehalten werden. Zusätzlich muss z. B. dafür gesorgt werden, dass der Gebrauch des Schlüssels nur im 4-Augenprinzip (Funktionstrennung) möglich ist und dass solch sensitive Prozesse protokolliert werden. 6WDQGGHU8PVHW]XQJ GHU 6LFKHUKHLWVPDVVQDKPHQ EHLP 6\VWHP 6L5ÅFN.RQWHQIÅU6LFKHUKHLWVOHLVWXQJHQGHU$V\OEHZHUEHU ,P-DQXDUHUOLHVVGHU(LGJ'DWHQVFKXW]EHDXIWUDJWHHLQH(PSIHKOXQJVLHKH7l WLJNHLWVEHULFKWYRQ6IIXQG7lWLJNHLWVEHULFKWYRQ6ZHJHQ XQJHQÅJHQGHU8PVHW]XQJYRQ'DWHQVFKXW]YRUVFKULIWHQEHLP6\VWHP6L5ÅFN'LH$E VFKOXVVVLW]XQJIÅUGLH8PVHW]XQJGHUYRQXQVJHIRUGHUWHQ'DWHQVLFKHUKHLWVPDVVQDKPHQ ZLUGHUVWLQGHUHUVWHQ+lOIWHVWDWWILQGHQ±DOVRJXWUXQGYLHU-DKUHQDFKXQVHUHU (PSIHKOXQJ Der EDSB schlug in seiner Empfehlung u.a. vor, Chiffrierverfahren für die Um- setzung der Datensicherheitsmassnahmen einzusetzen. Die Sektion Informa- tiksicherheit des Bundesamtes für Informatik (BFI) wurde damals beauftragt abzuklären, welche Möglichkeiten für die Chiffrierung beim System SiRück bestehen. Die Expertise lautete namentlich wie folgt: Ein direkter Übergang zu einer End-zu-End Chiffrierung ist nicht möglich, weil eine solche Lösung eine Neuentwicklung der Anwendung SiRück voraussetzen würde. Es wäre dann eine Client-Server Umgebung und nicht eine VT-Emula- tion für die Datenbearbeitung einzusetzen. Die zeitlichen und finanziellen Auf- wände waren damals schwer abzuschätzen, weil diese von der Art der Imple- mentierung abhingen. Man konnte aber damals mit Sicherheit sagen, dass eine Migration nicht innerhalb eines Jahres stattfinden konnte. Dennoch wurden aber konkrete Lösungsmöglichkeiten aufgezeigt. In der Folge musste man feststellen, dass die am System beteiligten Organisa- tionseinheiten bezüglich der Datensicherheitsmassnahmen z. T. unterschied- licher Meinung waren. Es stellte sich im Weiteren auch heraus, dass sich die Organisationseinheiten z. T auf unterschiedliche Sicherheits-beratungsfirmen abgestützt hatten und dass dadurch noch einmal einige Zeit für die Planung und Realisierung der Sicherheitsmassnahmen verloren ging. Bei Projekten stellen wir immer wieder fest, dass die Auftraggeber (Inhaber der Datensammlungen / verantwortliches Organ) die Anforderungen für die Datenbearbeitung durch Dritte (Outsourcing) zuwenig genau umschreiben. In einer rechtlichen Grund-
143 lage bzw. im Vertrag ist möglichst präzise festzuhalten, welche Anforderungen der Auftragnehmer (Dritte) zu erfüllen hat. Im Verlauf des ersten Semesters 1999 soll nun – nach mehrmaligem Hinaus- schieben des Termins - die definitive Abschlusssitzung bezüglich der umge- setzten Sicherheitsmassnahmen stattfinden. Das System soll dann auf der World-Wide-Web Technik und einer Client-Server Architektur basieren. Erst dann soll auch die definitive Chiffrierungsvariante eingesetzt werden. 6WDQGGHU8PVHW]XQJVDUEHLWHQIÅUGLH'DWHQVFKXW]XQG6LFKHUKHLWV DQOLHJHQEHLP3HUVRQDOLQIRUPDWLRQVV\VWHP3,6(', 'LH(PSIHKOXQJGHV(LGJ'DWHQVFKXW]EHDXIWUDJWHQYRP0DLVLHKH7lWLJNHLWV EHULFKW 6 II EH]ÅJOLFK GHU PDQJHOKDIWHQ 8PVHW]XQJ GHU 'DWHQVFKXW] XQG 6LFKHUKHLWVYRUVFKULIWHQLP%HUHLFKGHV3HUVRQDOLQIRUPDWLRQVV\VWHPV3,6(',IÅKUWH GD]XGDVVGDVYHUDQWZRUWOLFKH2UJDQPLW%HJOHLWXQJGHV('6%HLQ%HDUEHLWXQJVUHJOH PHQWHUVWHOOW'LHVHV5HJOHPHQWVROOGDQQDOV9RUODJHIÅU DQGHUH %HDUEHLWXQJV UHJOHPHQWHGLHQHQ,P:HLWHUHQZLUGLP%HUHLFKGHU'DWHQVLFKHUKHLWGHUDXIGHU6L FKHUKHLWVZHLVXQJ:6EDVLHUHQGH0DVVQDKPHQNDWDORJGXUFKJHDUEHLWHW6FKOLHVVOLFK ZHUGHQGLHQRFKDXVVWHKHQGHQ6LFKHUKHLWVPDVVQDKPHQLP6\VWHPLPSOHPHQWLHUW Das Personalinformationssystem PISEDI kann funktional grob in einen Bewerber- und einen Mitarbeiterbereich aufgeteilt werden. Wird ein Bewerber angestellt, so werden die Bewerberdaten aus dem Bewerber- in den Mitar- beiterbereich transferiert; bei Nichtanstellung werden dem Bewerber die einge- reichten Unterlagen zurückgesendet und die Daten im Informatiksystem nach einer bestimmten Zeit gelöscht. Im Weiteren macht das EDV-System den Personalbereich auf Ereignisse wie Geburtstage, Beförderungen, Ablauf der Probezeiten, fällige Beurteilungen, Dienstjubiläen, usw. aufmerksam. Das EDV-System ermöglicht auch die Erstellung von Berichten wie z. B. Kurzübersicht über die Bewerberdaten, Mitarbeiterberichte wie Stellenplan, monatliche Meldungen an das Eidg. Personalamt, Aufführen von Quoten, usw. Zusammen mit dem Inhaber der Datensammlung und dem verantwortlichen In- formatiker haben wir den Prozess der Personaldatenbearbeitung im GS EDI dokumentiert und diskutiert. Dabei ist uns u. a. aufgefallen, dass die Arbeits- zeugnisse nicht im EDV-System PISEDI, sondern im Textverarbeitungssystem Word geschrieben werden. Bei der Herkunft als auch bei der Bekanntgabe der Daten haben wir eine ab- schliessende Aufzählung verlangt. Es muss klar ersichtlich sein, bei welchen Organen oder Stellen die Daten erhoben und an wen sie bekanntgegeben wer-
144 den. Die Umschreibung dieser Organe muss abschliessend und präzise sein. Der Inhaber der Datensammlung vertritt die Meinung, dass eine anschliessende Aufzählung nicht möglich sei. Im Bereich der Kontrollverfahren haben wir bis zum heutigen Zeitpunkt auf folgende Aspekte hingewiesen:
145 9HUVFKLHGHQHV 'DWHQEDQNHQIÅU.LQGHUPLWXQEHNDQQWHP$XIHQWKDOW'DWHQVFKXW] LQ%HOJLHQ $XIJUXQGHLQHV3RVWXODWHVLP=XVDPPHQKDQJPLWGHU3UREOHPDWLNHQWIÅKUWHURGHU PLVVEUDXFKWHU.LQGHUDXILQWHUQDWLRQDOHU(EHQHKDWWHQZLUXQVPLWGHU)UDJHDXVHLQ DQGHU]XVHW]HQREGDWHQVFKXW]UHFKWOLFKH%HGHQNHQGDJHJHQVSUHFKHQZHQQLQGHU 6FKZHL]YRQGHU=ZHLJVWHOOHHLQHUEHOJLVFKHQ2UJDQLVDWLRQ]XU(UPLWWOXQJYRQ.LQGHUQ PLWXQEHNDQQWHP$XIHQWKDOWVRUWHLQH'DWHQEDQNEHWULHEHQZLUG Das Postulat Simon (97.3322) handelt von der Problematik entführter oder missbrauchter Kinder auf internationaler Ebene. In diesem Zusammenhang hatten wir uns mit der Frage zu befassen, ob aus Datenschutzsicht Bedenken gegen eine Datenbank bestehen, die in der Schweiz von der Zweigstelle einer belgischen Organisation betrieben wird. Ziel und Zweck dieser Datenbank ist es, Daten über vermisste oder sexuell missbrauchte Kinder zumindest mit dem Mutterhaus der Organisation auszutau- schen. Hierbei handelte es sich um eine Bekanntgabe von Personendaten ins Ausland. Nach dem DSG dürfen Personendaten ins Ausland nur bekanntgege- ben werden, wenn dadurch die Persönlichkeit der betroffenen Personen nicht schwerwiegend gefährdet wird. Das ist insbesondere der Fall, wenn das Empfängerland über einen dem schweizerischen gleichwertigen Datenschutz verfügt. Die Datenschutzgesetzgebung von Belgien ist mit derjenigen der Schweiz vergleichbar. Einer Datenbekanntgabe nach Belgien steht somit grund- sätzlich nichts entgegen. Wir haben jedoch darauf hingewiesen, dass die Zweig- stelle in der Schweiz sich darüber hinaus an die allgemeinen Bearbeitungs- grundsätze des DSG – Rechtmässigkeit der Beschaffung, Verhältnismässigkeit, Zweckbindung, Richtigkeit, Datensicherheit, Gewährleistung des Auskunfts- rechtes - zu halten hat. Der Grundsatz der Datensicherheit hat zur Folge, dass die Zweigstelle gerade im Hinblick auf einen Austausch der Daten mit anderen europäischen Zweigstellen oder mit dem Mutterhaus, insbesondere über eine elektronische Vernetzung, gemäss DSG in Verbindung mit der VDSG technische und organisatorische Massnahmen zu treffen hat. Diese dienen na- mentlich den Zielen der Zugangs-, Personendatenträger-, Transport-, Bekannt- gabe-, Speicher-, Benutzer-, Zugriffs- und Eingabekontrolle.
146 9HUWULHEHLQHU&'520PLW)DKU]HXJKDOWHUGDWHQ 'LH(LGJ'DWHQVFKXW]NRPPLVVLRQKDWPLW(QWVFKHLGYRP0lU]GLH3URGXNWLRQ XQGGHQ9HUWULHEGHU&'520$872GH[GHILQLWLYHLQVWHOOHQODVVHQYJO7lWLJNHLWV EHULFKW6,QGHU)ROJHKDEHQZLUIHVWJHVWHOOWGDVVGLHIUDJOLFKH&'520DXIGHP 0DUNWZLHGHUHUKlOWOLFKLVW:LUKDEHQDP$XJXVWEHLGHU(LGJ'DWHQVFKXW] NRPPLVVLRQGDV*HVXFKXP(UODVVHLQHU9ROOVWUHFNXQJVYHUIÅJXQJJHVWHOOW Die Eidg. Datenschutzkommission hat mit Entscheid vom 18. März 1998 die Produktion und den Vertrieb der CD-ROM AUTOdex mit den Fahrzeughalter- daten der Schweiz einstellen lassen. Am 22. Juli 1998 hat die produzierende Firma die fragliche CD-ROM als Datensammlung bei uns angemeldet. In den darauffolgenden Tagen konnten wir die Wiederaufnahme des Vertriebes einer neuen Version der CD-ROM auf dem Markt feststellen. Eine Anfrage bei der Vereinigung der Strassenverkehrsämter hat ergeben, dass seit dem Entscheid der Eidg. Datenschutzkommission kein Kanton die Ermächtigung zur Pro- duktion der CD-ROM erteilt hat. In der Folge stellten wir bei der Eidg. Datenschutzkommission das Gesuch um Erlass einer Vollstreckungsverfügung. Wir beantragten im Wesentlichen die Beschlagnahme nach dem Entscheid der Eidg. Datenschutzkommission erzielten Gewinnes sowie die Androhung der Ungehorsamstrafe nach Art. 292 StGB. Im Schriftenwechsel stellte sich die fragliche Firma im Wesentlichen auf den Standpunkt, die neu erhältliche CD- ROM stelle nicht eine neue Version der bekannten CD-ROM dar, sondern sei eine völlig neue CD-ROM mit eingeschränkten Suchmechanismen. Deshalb sei nicht gegen den Entscheid der Eidg. Datenschutzkommission verstossen worden und es liege auch kein Vollsteckungssubstrat vor. Im Übrigen stelle der Antrag auf Beschlagnahme des erzielten Gewinnes einen Eingriff in das verfassungs- mässige Recht der Eigentumsfreiheit dar. Wir haben die Auffassung vertreten, dass es sich bei der fraglichen CD-ROM nicht um eine völlig neue Version, sondern um die vierte Version der bereits bekannten CD-ROM handelt. Mit der Produktion und dem Vertrieb dieser vierten Version der CD-ROM sei der Entscheid der Eidg. Datenschutzkommission missachtet worden. Im Übrigen könne sich die fragliche Firma nicht auf die Eigentumsfreiheit stützen, da sie nicht Eigentümerin der Fahrzeughalterdaten ist. Wir warten auf den Entscheid der Eidg. Datenschutzkommission.
147 9LGHRDXI]HLFKQXQJHQXQG7KHUDSLH 'DV 9HUKlOWQLV 7KHUDSHXW.OLHQW LVW HLQ EHVRQGHUHV 9HUWUDXHQVYHUKlOWQLV :HU 7KHUDSLHJHVSUlFKHYRQ.OLHQWHQRGHU3DWLHQWHQDXI9LGHRDXI]HLFKQHQP|FKWHPXVV VLFKDXIHLQHQ5HFKWIHUWLJXQJVJUXQGVWÅW]HQN|QQHQ)ÅU9LGHRDXIQDKPHQLVWGLHV JUXQGVlW]OLFKGLH(LQZLOOLJXQJGHUEHWURIIHQHQ3HUVRQZREHLGLH(LQZLOOLJXQJYRUGHU $XI]HLFKQXQJHLQJHKROWZHUGHQPXVV6LQGEHWURIIHQH3HUVRQHQQLFKWHLQYHUVWDQGHQ GÅUIHQNHLQH$XIQDKPHQJHPDFKWZHUGHQXQGVLHN|QQHQMHGHU]HLWHLQH/|VFKXQJLKUHU 'DWHQYHUODQJHQ Ein Ehepaar suchte eine Paartherapie auf. Nach zwanzig Minuten stellten sie fest, dass das Gespräch ohne vorherige Information auf Video aufgezeichnet worden ist. Unverzüglich wurde der Abbruch der Aufzeichnung und die Lö- schung der bereits aufgenommenen Sequenz verlangt. Die Therapeutin wollte die Daten nicht löschen, worauf die Therapie sofort abgebrochen wurde. Die betroffenen Personen fragten uns anschliessend, in welchem Zeitpunkt sie über die Videoaufzeichnung hätten informiert werden sollen, ob eine Einwilligung erforderlich sei und ob sie auf der Löschung beharren bzw. wie sie diese erwirken könnten. Videoaufnahmen sind Personendaten im Sinne des DSG. Daten im Zusam- menhang mit Psychotherapien offenbaren Angaben über die Gesundheit und Intimsphäre, welche als besonders schützenswert betrachtet werden. Gemäss den allgemeinen Grundsätzen des DSG dürfen Personendaten nur rechtmässig beschafft werden, ihre Bearbeitung hat nach Treu und Glauben zu erfolgen, weshalb Daten nicht in einer Art erhoben werden dürfen, mit der die betroffene Person nicht rechnen musste und nicht einverstanden gewesen wäre. Im Einzel- fall sind zwar so viele Daten wie nötig, aber gleichzeitig so wenige wie möglich zu bearbeiten. Ferner dürfen Personendaten nur zu dem Zweck bearbeitet wer- den, der bei der Beschaffung angegeben wurde (z.B. zu Ausbildungszwecken), der aus den Umständen ersichtlich oder gesetzlich vorgegeben ist. Wer Personendaten bearbeiten will, muss in der Regel einen Rechtfertigungs- grund geltend machen. Bei Videoaufzeichnungen in einer Paartherapie kommt als Rechtfertigungsgrund die ausdrückliche und vorgängige Einholung der Einwilligung aller Betroffenen in Frage. Sofern eine Person mit der Videoauf- nahme nicht einverstanden ist, darf diese grundsätzlich nicht erfolgen. Die Klienten sind in jedem Fall vorher und umfassend über die beabsichtigte Auf- zeichnung zu informieren (Transparenzprinzip). Dies ist auch aufgrund des be- sonderen Vertrauensverhältnisses, welches zwischen der ratsuchenden Person und der Therapeutin oder dem Therapeuten besteht, zentral. Eine betroffene Person kann auch jederzeit den Abbruch sowie die Löschung bisheriger Auf- zeichnungen verlangen. Die Therapeuten sind diesfalls verpflichtet, die erfor-
148 derliche Löschung vorzunehmen. Vorliegend wurde die Therapeutin von uns auf ihre Löschungspflicht hingewiesen, worauf sie die Daten vernichtete. 'HU('6%LVWNHLQH=HUWLIL]LHUXQJVVWHOOH 9LHOH8QWHUQHKPHQELWWHQXQVDE]XNOlUHQRELKUH$OOJHPHLQHQHVFKlIWVEHGLQJXQJHQ (LQZLOOLJXQJVNODXVHOQRGHUGLH4XDOLWlWLKUHU%ULHIXPVFKOlJHLPHVFKlIWVYHUNHKUGD WHQVFKXW]NRQIRUPVLQGRGHUQLFKW'LHVEH]ÅJOLFKZHLVHQZLUGDUDXIKLQGDVVVLHDOV,Q KDEHULKUHU'DWHQVDPPOXQJHQIÅUGLH'DWHQEHDUEHLWXQJVHOEHUYHUDQWZRUWOLFKVLQG :RKOEHUDWHQZLUSULYDWH3HUVRQHQLQ)UDJHQGHV'DWHQVFKXW]HV(LQH.RPSHWHQ]]XU =HUWLIL]LHUXQJVWHKWXQVKLQJHJHQQLFKW]X Wir werden oft von Unternehmen angefragt, ob ihre Allgemeinen Geschäfts- bedingungen und Einwilligungsklauseln den Anforderungen des DSG ent- sprechen würden. Überdies wollen sie den Namen unserer Stelle in ihren Unter- lagen als Bescheinigungen für eine datenschutzkonforme Bearbeitung auf- führen. Auch Druckereien ersuchen uns regelmässig um Prüfung der Opazität ihrer Briefumschläge für den Post- und Zahlungsverkehr und wollen dies durch uns bescheinigen lassen. Wie wir bereits mehrmals ausgeführt haben, kann der EDSB keine Bescheini- gungen für eine datenschutzkonforme Bearbeitung ausstellen und wird aus Ka- pazitätsgründen auf derartige Anfragen nicht mehr eintreten. Die Inhaber von Datensammlungen sind für die Bearbeitung ihrer Personendaten selber verant- wortlich, weshalb wir sie auf die Überprüfungsmöglichkeiten hinweisen. Insbe- sondere hinsichtlich Opazität von Couverts pflegen wir zu empfehlen, dass ein Briefumschlag mit Inhalt gegen eine helle Lichtquelle wie z.B. eine Bürolampe oder Taschenlampe gehalten werden kann, wie dies missbräuchlich auch von unbefugten Dritten getan werden könnte. Mit diesem Verfahren ist leicht er- sichtlich, ob der Briefinhalt durch das Couvert hindurch lesbar und damit die Transportkontrolle gewährleistet ist. Im Einzelfall gelangen zudem die ein- schlägigen Bestimmungen der Verordnung zum DSG zur Anwendung.
149 'DWHQVFKXW]XQG%XFKSXEOLNDWLRQHQ ,Q=XVDPPHQKDQJPLWGHU3XEOLNDWLRQHLQHV%XFKHVPLWSROLWLVFKHP,QKDOWJDOWHVGLH )UDJH]XEHDQWZRUWHQREDXFK%XFKDXWRUHQLQGHQ*HQXVVGHUSULYLOHJLHUHQGHQGDWHQ VFKXW]UHFKWOLFKHQ%HVWLPPXQJHQIÅU0HGLHQVFKDIIHQGHÅEHUGLH(LQVFKUlQNXQJGHV $XVNXQIWVUHFKWVNRPPHQN|QQHQ Die Medien haben in einem Rechtsstaat eine wichtige gesellschaftliche Aufgabe zu erfüllen. Sind sie doch der Informationskanal für verschiedenste weltan- schauliche und politische Ansichten und tragen somit wesentlich zu einer freien Meinungsbildung der Öffentlichkeit bei. Damit Medienschaffende diesen Auf- trag erfüllen können, muss ihnen somit gerade auch bei der Bearbeitung von Personendaten eine gewisse Freiheit zugestanden werden. In Artikel 10 des Bundesgesetzes über den Datenschutz (DSG) wird diesem Be- dürfnis Rechnung getragen, indem Medienschaffenden (auch freischaffenden Journalisten), die für ein periodisch erscheinendes Medium tätig sind, die Mög- lichkeit gegeben wird, das Auskunftsrecht (Art. 8 DSG) gegenüber betroffenen Person zu verweigern, einzuschränken oder aufzuschieben, soweit die Personendaten Aufschluss über die Informationsquellen geben, Einblick in die Entwürfe für Publikationen gegeben werden müsste oder die freie Meinungs- bildung des Publikums gefährdet würde. Das bedeutet, dass das Interesse eines einzelnen am Schutz seiner Privatsphäre dann zurücktreten muss, wenn das öf- fentliche Interesse an einer freien Meinungsbildung überwiegt. Die Beurteilung im Einzelfall hat wie bei jeder anderen Datenbearbeitung unter Beachtung der datenschutzrechtlichen Grundsätze im Sinne von Art. 4 ff DSG zu erfolgen. Obwohl in Form von Büchern und Filmen zweifellos wertvolle Beiträge zur Förderung der freien Meinungsbildung geleistet werden, haben sie für den Grossteil der Öffentlichkeit dennoch nicht dieselbe Bedeutung. Dies, weil Me- dien wie Zeitungen, Radio und Fernsehen, die in einer gewissen Regelmässig- keit erscheinen, einen vergleichsweise viel grösseren Einfluss auf den Mei- nungsbildungsprozess eines weit grösseren Bevölkerungsanteils haben. Der Einbezug von Buchpublikationen und Filmen in die Spezialregelung des Art. 10 DSG würde daher dem Grundsatz der Verhältnismässigkeit zuwiderlaufen, nicht zuletzt deshalb, weil beliebige Datenbearbeiter im Falle einer Persönlich- keitsverletzung fast immer behaupten könnten, sie würden Daten sammeln und diese im Hinblick auf eine Publikation auswerten (vgl. hierzu eingehend BBl 1988 II 462). Hier sind demnach nur, aber immerhin, die allgemeinen daten- schutzrechtlichen Bestimmungen betreffend Einschränkung des Auskunfts- rechts (Art. 9 DSG) anwendbar. Demnach haben private Datenbearbeiter insbe- sondere das Recht, die Auskunft zu verweigern, einzuschränken oder aufzu- schieben, soweit eigene überwiegende Interessen es erfordern und die Daten nicht an Dritte weitergegeben werden.
150 In der Praxis ist es nicht immer einfach zu entscheiden, welche der beiden Be- stimmungen nun zur Anwendung kommt. Dies ist etwa dann der Fall, wenn ein freier Journalist nicht nur für ein periodisch erscheinendes Medium arbeitet, sondern daneben auch als Buchautor tätig ist. Soweit er für beide Tätigkeiten Informationen aus dem selben Archiv verwendet, wird es, falls es zu einem Prozess kommt, die anspruchsvolle Aufgabe des zuständigen Richters sein, unter Berücksichtigung sämtlicher Umstände des Einzelfalles, ein adäquates Urteil zu fällen. ,,,,17(51$7,21$/(6
(XURSDUDW
'HUEHUDWHQGH$XVVFKXVVGHVhEHUHLQNRPPHQVGHV(XURSDUDWHV]XP6FKXW]GHV0HQ VFKHQEHLGHUDXWRPDWLVFKHQ9HUDUEHLWXQJSHUVRQHQEH]RJHQHU'DWHQ73'KLHOWYRP ELV]XP6HSWHPEHUVHLQH6LW]XQJDEXQGYHUDEVFKLHGHWHLQVEHVRQGHUHHLQH bQGHUXQJGHVhEHUHLQNRPPHQVZHOFKHGHQ%HLWULWWGHU(XURSlLVFKHQHPHLQVFKDIWHQ HUODXEHQVROOWH'DV0LQLVWHUNRPLWHHPXVVGLHbQGHUXQJLP/DXIHGHV-DKUHVJH QHKPLJHQ$XVVHUGHPlQGHUWHGHU73'VHLQHHVFKlIWVRUGQXQJXPGDV5HFKWGHU 0LQGHUKHLWHQEHL$EVWLPPXQJHQ]X)UDJHQGHUJHPHLQVFKDIWOLFKHQ.RPSHWHQ]YRU]X EHKDOWHQ)HUQHUZXUGHGLH3UÅIXQJHLQHV=XVDW]SURWRNROOV]XPhEHUHLQNRPPHQDXI JHQRPPHQZHOFKHVGLH9HUSIOLFKWXQJIÅUGLH9HUWUDJVVWDDWHQYRUVHKHQVROOXQDEKlQ JLJH.RQWUROOEHK|UGHQ]XUhEHUZDFKXQJGHU'DWHQVFKXW]EHVWLPPXQJHQHLQ]XVHW]HQ 'LHVHQ%HK|UGHQVROOGDV5HFKW]XVWHKHQYRUHULFKW]XNODJHQRGHUGLHHULFKWH]X PLQGHVWÅEHUIHVWJHVWHOOWH9HUOHW]XQJHQLP'DWHQVFKXW]EHUHLFK]XLQIRUPLHUHQ$XVVHU GHPVROOGDV3URWRNROOGHQJUHQ]ÅEHUVFKUHLWHQGHQ'DWHQYHUNHKUPLW1LFKWYHUWUDJV VWDDWHQUHJHOQ6FKOLHVVOLFKKDWGHU73'EHVFKORVVHQGLH$UEHLWHQLP%HUHLFKGHU 9HUWUDJVNODXVHOQ]XPJUHQ]ÅEHUVFKUHLWHQGHQ'DWHQYHUNHKUIRUW]XVHW]HQ
Die Projektgruppe für den Datenschutz (CJPD) ist zweimal zusammengetreten und hat die Prüfung des Empfehlungsentwurfs über den Schutz der Privatsphäre im Internet sowie der Leitlinien über den Schutz des Menschen bei der Erhe- bung und Bearbeitung von Personendaten in Datenautobahnen abgeschlossen. Die beiden Texte wurden vom Ministerkomitee am 23. Februar 1999 ange- nommen und können im Internet eingesehen werden
151 (http://www.coe.fr/dataprotection). Die Leitlinien richten sich an Internetbenutzer und an Betreiber von Online-Diensten ; sie halten Rechte und Pflichten fest und empfehlen bestimmte Verhaltensweisen oder Massnahmen zur Gewährleistung des Schutzes der Privatsphäre. Ausserdem verabschiedete die CJPD einen Be- richt zur Auswertung der Relevanz der Empfehlung Nr. (87) 15, welche die Be- nutzung persönlicher Daten im Polizeiwesen regeln soll. Darin schlägt die CJPD insbesondere vor, die Notwendigkeit der Annahme eines ergänzenden Rechtsinstruments zur Empfehlung zu verabschieden, um die aktuellen Polizei- und Gerichtspraktiken in der Verbrechensbekämpfung zu berücksichtigen. Fer- ner plädierte die Projektgruppe für die Einführung von Datenschutzbe- stimmungen in den Übereinkommensentwurf über Kriminalität im Cyberspace. Schliesslich setzte sie ihre Arbeiten mit Blick auf die Annahme einer Emp- fehlung über den Schutz von Personendaten, die zu Versicherungszwecken er- hoben und bearbeitet werden, fort.
%H]LHKXQJHQ]XU(XURSlLVFKHQ8QLRQ
'LH5LFKWOLQLH(GHV(XURSlLVFKHQ3DUODPHQWVXQGGHV5DWHV]XP6FKXW]QDWÅU OLFKHU3HUVRQHQEHLGHU9HUDUEHLWXQJSHUVRQHQEH]RJHQHU'DWHQXQG]XPIUHLHQ'DWHQ YHUNHKUKWWSZZZHXURSDHXLQWFRPPGJIULQGH[KWPLVWDP2NWREHULQ .UDIWJHWUHWHQ=XMHQHP=HLWSXQNWVROOWHQGLH0LWJOLHGVWDDWHQGHU(XURSlLVFKHQ 8QLRQGLH8PVHW]XQJGHU5LFKWOLQLHLQLKULQQHUVWDDWOLFKHV5HFKWYROO]RJHQKDEHQ1XU IÅQI6WDDWHQ,WDOLHQULHFKHQODQG3RUWXJDO6FKZHGHQ9HUHLQLJWHV.|QLJUHLFKZDUHQ MHGRFKLQGHU/DJHGLH)ULVWHLQ]XKDOWHQ%HOJLHQKDWLQ]ZLVFKHQHLQQHXHV*HVHW]YHUDE VFKLHGHW$P2NWREHUWUDW]XGHPGLH5LFKWOLQLH(*GHV(XURSlLVFKHQ 3DUODPHQWVXQGGHV5DWHVYRPÅEHUGLH9HUDUEHLWXQJSHUVRQHQEH]RJHQHU 'DWHQXQGGHQ6FKXW]GHU3ULYDWVSKlUHLP%HUHLFKGHU7HOHNRPPXQLNDWLRQLQ.UDIW
Ziel der europäischen Richtlinien 95/46/EG ist es, ein hohes Schutzniveau der Privatsphäre der Bürger in allen Mitgliedstaaten zu garantieren, gleichzeitig den freien Verkehr von Personendaten innerhalb der Europäischen Union zu ge- währleisten und Wettbewerbsverzerrungen und Auslagerungsrisiken zu beseiti- gen. Die Richtlinie erfasst die in den Kompetenzbereich der Europäischen Union fallende Bearbeitung von Personendaten im öffentlichen und privaten Bereich; damit gilt sie nicht für Bearbeitungen, welche sich auf die öffentliche Sicherheit, die Verteidigung und den Staatsschutz beziehen. Die Richtlinie hält die Bedingungen fest, zu welchen die automatische oder nicht-automatische Bearbeitung von Personendaten legitim ist, und führt die Rechte der betroffenen Person auf (Recht auf Information, Auskunft, Berichtigung, Einsprache gegen
152 die Bearbeitung und Beschwerde). Ferner bestimmt sie die erforderlichen Ei- genschaften der Daten und ihrer Bearbeitung (Genauigkeit, faire und recht- mässige Erhebung, legitime und rechtmässige Zweckbindung, Vereinbarkeit, Verhältnismässigkeit, Vertraulichkeit, Sicherheit, Notifikation). Im Bereich der Überwachung ist eine unabhängige Kontrollbehörde mit Entscheidungsbefug- nissen und Prozessfähigkeit vorgesehen. Die Richtlinie verweist nicht mehr auf Datensammlungen (ausgenommen für manuelle Daten), sondern konzentriert sich auf die Bearbeitungen. Schliesslich regelt sie den grenzüberschreitenden Datenfluss, der innerhalb der Europäischen Union frei erfolgen soll, in Drittlän- der jedoch grundsätzlich verboten wird, sofern diese kein als angemessen beur- teiltes Schutzniveau kennen. Ausserdem verfolgt die Richtlinie das Ziel, die Grundsätze des Übereinkommens 108 (Übereinkommen des Europarates vom 28. Januar 1981 zum Schutze des Menschen bei der automatischen Verarbei- tung personenbezogener Daten) auszuführen und zu erweitern.
Obwohl die Schweiz weder zur EU noch zum EWR gehört, ist die Richtlinie insbesondere im Rahmen der bilateralen Diskussionen oder der gesetzlichen Entwicklungen im Datenschutzbereich relevant. Ausserdem sollten schweizeri- sche Unternehmen, welche innerhalb der EU in ihren Aktivitäten Personendaten bearbeiten, die Richtlinie berücksichtigen. Das DSG und die europäische Richtlinie weisen deutliche Ähnlichkeiten auf, da sie im gleichen Zeitraum ent- standen. Ausserdem lassen sich beide am Übereinkommen 108 leiten. Aller- dings gibt es auch Unterschiede : System der besonders schützenswerten Daten, Information der von der Datenerhebung oder –bekanntgabe betroffenen Perso- nen, Verbot automatischer individueller Entscheide, Tragweite des Auskunfts- und Einspracherechts der betroffenen Person, Notifizierung der Bearbeitungen an die Kontrollbehörde, Kompetenzen und Befugnisse der Kontrollbehörde. Noch ausgeprägter sind diese Unterschiede für die Kantone, vor allem für jene ohne Datenschutzgesetz und unabhängige Kontrollbehörde (siehe auch Anhang S. 181 des vorliegenden Berichts). Zum grenzüberschreitenden Datenfluss sieht die Richtlinie den freien Daten- verkehr in der Europäischen Union vor. Gegenüber Drittstaaten wird die Über- mittlung von Personendaten ins Ausland laut Richtlinie nur gestattet, wenn das Empfängerland ein gleichwertiges Schutzniveau bietet. Grundsätzlich sollten die Staaten, welche das Übereinkommen 108 des Europarates ratifiziert haben und über eine unabhängige Kontrollbehörde verfügen, ein gleichwertiges Schutzniveau aufweisen (siehe dazu Gruppe für den Schutz der Rechte von Per- sonen bei der Verarbeitung personenbezogener Daten, « Übermittlung perso- nenbezogener Daten an Drittländer : Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU », http://www.europa.eu.int/comm/dg15/fr/index.htm ). Im Moment untersuchen die zuständigen Stellen der EU-Kommission die Ge- setzgebung mehrerer Drittstaaten, darunter der Schweiz ; sie werden die Staaten mit angemessenem Schutzniveau bestimmen und die Entscheidungen betreffend diese Staaten vorbereiten. Dabei handelt es sich um eine « positive Angemes-
153 senheitserklärung ». Der EDSB wurde in diesem Rahmen von der Kommission angehört. Die Kommission wurde über die schweizerische Gesetzgebung, vor allem über das Verhältnis zwischen Bundes- und Kantonsrecht (einschliesslich der Bearbeitung von Personendaten mangels kantonaler Datenschutzbestim- mungen), über das System der besonders schützenswerten Daten, die sich aus dem Grundsatz des guten Glaubens ergebende Informationspflicht und über die öffentlichen Verzeichnisse informiert.
Wir erwarten eine positive Angemessenheitserklärung für unsere Gesetzgebung im Laufe des Jahres 1999. Dessenungeachtet müssen schweizerisches Recht und Praxis im Datenschutzbereich weiter mit dem europäischen Recht in Einklang gebracht werden. Daher empfehlen wir in der Schweiz niedergelassenen Unter- nehmen, die innerhalb der Europäischen Union Daten austauschen oder bear- beiten, die Auflagen der Richtlinie zu befolgen. Das gilt vor allem für die Infor- mationspflicht der von der Datenerhebung oder –bekanntgabe betroffenen Per- sonen : Diese müssen über die Identität des für die Bearbeitung Verantwortli- chen, über den Zweck der Bearbeitung und die Datenempfänger unterrichtet werden. Ferner müssen sie darüber informiert werden, ob die Erhebung fakultativ oder obligatorisch ist, über die Folgen einer Antwortverweigerung sowie über die Existenz des Auskunfts- und Berichtigungsrechts. Zum Thema Datenübermittlungen ins Ausland siehe auch Tabelle im Anhang S. 180, 5. Tätigkeitsbericht S. 85 ff und 3. Tätigkeitsbericht S. 80 ff.
,QWHUQDWLRQDOH.RQIHUHQ]GHU%HDXIWUDJWHQIÅUGHQ'DWHQVFKXW]
'LH;;,QWHUQDWLRQDOH.RQIHUHQ]GHU'DWHQVFKXW]EHDXIWUDJWHQIDQGYRPELV]XP 6HSWHPEHUDXI(LQODGXQJGHUVSDQLVFKHQ'DWHQVFKXW]EHK|UGHQLQ6DQWLDJRGH &RPSRVWHODVWDWW$QGLHVHU.RQIHUHQ]EHWHLOLJWHQVLFKGLH'DWHQVFKXW]EHDXIWUDJWHQYRQ ZHOWZHLW6WDDWHQ5HJLHUXQJVH[SHUWHQ9HUWUHWHUGHV(XURSDUDWHVGHU(XURSlLVFKHQ .RPPLVVLRQVRZLHGHU,QGXVWULHXQGGHU:LVVHQVFKDIW$XVGLHVHP$QODVVWUXJHQZLU HLQ5HIHUDWPLWGHP7LWHO©hEHUHLQNRPPHQGHV(XURSDUDWHV]XP6FKXW]GHV0HQVFKHQ EHLGHUDXWRPDWLVFKHQ9HUDUEHLWXQJSHUVRQHQEH]RJHQHU'DWHQXQGLQWHUQDWLRQDOH=X VDPPHQDUEHLWDQGHU6FKZHOOH]XP;;,-DKUKXQGHUW™YRU'DULQSOlGLHUWHQZLUIÅU HLQH6WlUNXQJGHV9|ONHUUHFKWVLP'DWHQVFKXW]XQGLQGHULQWHUQDWLRQDOHQ=XVDPPHQ DUEHLWYRUDOOHPGXUFKGLHbQGHUXQJGHVhEHUHLQNRPPHQV$QHUNHQQXQJHLQHUJHZLV VHQGLUHNWHQ$QZHQGEDUNHLW(LQIÅKUXQJGHVLQGLYLGXHOOHQ%HVFKZHUGHUHFKWV9HU SIOLFKWXQJ]XU6FKDIIXQJXQDEKlQJLJHU.RQWUROOLQVWDQ]HQ6\VWHPGHVJUHQ]ÅEHUVFKUHL WHQGHQ'DWHQYHUNHKUVGXUFKGHQ.RPSHWHQ]DXVEDXGHVEHUDWHQGHQ$XVVFKXVVHVGHV
154 hEHUHLQNRPPHQVVRZLHGXUFKGLH6FKDIIXQJHLQHV$XVVFKXVVHVGHU'DWHQVFKXW]EHDXI WUDJWHQGHU9HUWUDJVSDUWHLHQ
Die Konferenz befasste sich mit den folgenden sieben Themen : Benutzung von öffentlichen oder aus öffentlich zugänglichen Quellen erhobe- nen Daten, Benutzung neuer Technologien zur Erhebung von Strassengebühren, Internet, grenzüberschreitender Datenverkehr und Stärkung der internationalen Zusammenarbeit, Sicherheitsmassnahmen, Datenbearbeitung zu Auskunfts- und Kreditzwecken, Wahrnehmung des Einzelnen für den Schutz ihn betreffender Daten (Selbstdatenschutz). Zu jedem Thema hielten die Datenschutzbeauftragten oder Gastredner ein Re- ferat.
Am Rande der Konferenz verabschiedeten die europäischen Datenschutz- beauftragten zwei Resolutionen. Die erste betrifft die Schaffung einer gene- tischen und medizinischen Datenbank in Island (http://www.cnil.fr/). Island hat ein Gesetz zur Schaffung einer zentralen Datensammlung angenommen, welche alle Krankenakten der gesamten isländischen Bevölkerung, einschliesslich der genetischen Fingerabdrücke, enthält. Ein multinationaler Pharmakonzern mit Sitz in der Schweiz wird diese Datensammlung benutzen ; sie dient zur Kontrolle der Verwendung der medizinischen Dienste, der pharmazeutischen Produkte und der Forschung. Die europäischen Datenschutzbeauftragten melden in ihrer Resolution schwerwiegende Vorbehalte gegen das Projekt an und empfehlen den isländischen Behörden, es im Licht der Grundprinzipien, welche die Europäische Menschenrechtskonvention, das Übereinkommen 108 des Europarates, die Empfehlung (97) 5 über medizinische Daten sowie die Europäische Richtlinie verankern, erneut zu überprüfen. Dabei betonen sie besonders die Achtung des Prinzips der vorgängigen freien und erkennbaren Einwilligung der betroffenen Person zur Erfassung von Daten über sie, den Rückgriff auf Methoden, welche ein verlässliches Anonymat garantieren, und die strikte Befolgung des Zweckmässigkeitsgrundsatzes.
Die zweite Resolution (siehe http://www.edsb.ch) betrifft den Schutz von Personendaten und der Privatsphäre im Internet. Sie wurde mit Bezug auf die Publikation des Berichts von Sonderermittler Starr in der Clinton/Lewinski- Affäre erarbeitet. In dieser Erklärung der EU-Datenschutzbeauftragten, der sich die Datenschutzbeauftragten Islands, Norwegens und der Schweiz ange- schlossen haben, wird betont, dass die Verwendung des Internet in bestimmten Fällen den Grundprinzipien des Schutzes der Privatsphäre und des Daten- schutzes zuwiderlaufen kann ; sie unterstreichen die Notwendigkeit, den vom Einsatz dieser Technologie betroffenen Personen Garantien zum Schutz der Personendaten und der Privatsphäre zuzuerkennen, und plädieren schliesslich
155 für eine verstärkte internationale Zusammenarbeit in diesem Bereich, gestützt auf die Anerkennung universeller Prinzipien.
2(&'
.RQIHUHQ]LQ2WWDZDÅEHUGHQHOHNWURQLVFKHQ*HVFKlIWVYHUNHKU
9RPELV2NWREHUIDQGLQ2WWDZD.DQDGDHLQH.RQIHUHQ]GHU2(&'ÅEHU GHQHOHNWURQLVFKHQHVFKlIWVYHUNHKUVWDWW1HEHQGHQVWDDWOLFKHQ9HUWUHWHUQQDKPHQ ]XPHUVWHQ0DODXFKDQGHUHLQWHUQDWLRQDOH2UJDQLVDWLRQHQXQGDQGHUH,QWHUHVVHQ YHUWUHWHUEHLVSLHOVZHLVHDXVGHQ%HUHLFKHQ9HUEUDXFKHUXQG'DWHQVFKXW]WHLO,P 5DKPHQGHU.RQIHUHQ]ZXUGHHUNDQQWGDVVIÅUHLQHHUIROJUHLFKH(QWZLFNOXQJGHVHOHN WURQLVFKHQHVFKlIWVYHUNHKUVGDV9HUWUDXHQGHU9HUEUDXFKHUYRQ]HQWUDOHU%HGHXWXQJ LVW8QWHUDQGHUHPZXUGHQDXFKHLQH(UNOlUXQJÅEHUGHQ6FKXW]GHU3ULYDWVSKlUHXQG $NWLRQVSOlQH IÅU GLH NÅQIWLJH $UEHLW GHU 2(&' LQ YHUVFKLHGHQHQ %HUHLFKHQ YHUDEVFKLHGHW
Es ist davon auszugehen, dass die OECD-Konferenzen primär ein Forum für Wirtschaftsinteressen sind. Deshalb wurde die Thematik des e-commerce vor allem vom wirtschaftspolitischen Gesichtspunkt her angegangen. Im Zusam- menhang mit e-commerce wurden u. a. die folgenden Themen konkretisiert: Die Liberalisierung, das Marktpotential sowie die Zukunftsperspektiven. Im Mittel- punkt stand fast immer der Gedanke der Wirtschaftsvertreteter, dass regulato- rische Eingriffe des Staates dem Entwicklungspotenzial von e-commerce schaden könnten. Dass der Staat seine Pflichten zur Wahrung von öffentlichen Interessen wahrnehmen muss, wurde übersehen. Zwar wurde bei den verschiedenen Ausführungen das Vertrauen der Konsu- menten und Anwender in e-commerce immer wieder hervorgehoben. Dennoch kam die Bedeutung des Schutzes der Privatsphäre, der unabdingbar für die Vertrauensbildung ist, zu wenig zum Ausdruck. Die von den Ministern verabschiedeten Deklarationen sowohl über die digitale Signatur als auch über den Konsumenten- und Datenschutz haben dementspre- chend einen niederen substanziellen Wortlaut. Hinsichtlich des Schutzes der Privatsphäre sind die Deklarationen zu allgemein, d.h. ohne bestimmte Ver- pflichtungen für die Privatwirtschaft, ausgefallen. Für die Gewinnung des Ver- trauens der Konsumenten in e-commerce sind diese allgemeine Formulierungen ungenügend.
156
Die Schweiz sowie auch andere vor allem europäische Länder erkennen die Wichtigkeit und das enorme Potenzial von e-commerce. Nebst der Schaffung der notwendigen Voraussetzungen für e-commerce wollen sie auch Anliegen des Konsumenten- und Datenschutzes berücksichtigen. Für e-commerce bestehen in der Schweiz und im weiteren europäischen Raum weitgehend aus- reichende technisch neutrale Rechtsgrundlagen für den Schutz der Privatsphäre. Dieser Rechtsrahmen behindert die in der Informationsgesellschaft notwendige schnelle Suche nach angemessenen und praktikablen technischen Lösungen nicht. Er setzt gleichzeitig Schranken für den Schutz der Privatsphäre im Um- feld des e-commerce.
Deshalb gilt es im Bereich des e-commerce nach flexiblen und variablen Lö- sungen zu suchen. Infolgedessen müssen die Modelle eine harmonische Mi- schung von staatlichem Handeln (rechtliche Rahmenbedingungen) und der Selbstregulierung des Marktes sein. Der Rahmen der Selbstregulierung ist also intensiv in Zusammenarbeit mit den staatlichen Behörden zu erarbeiten.
Anlässlich der 5. Sitzung der Expertengruppe über Informationssicherheit und Schutz der Privatsphäre vom 21./22. Oktober 1998 haben wir darauf hinge- wiesen, dass die Entwicklung des elektronischen Geschäftsverkehrs mit Ar- beiten und Vorkehrungen für einen effektiven Schutz der Privatsphäre begleitet werden muss. Insbesondere haben wir auf folgende Punkte aufmerksam ge- macht:
157 -Schliesslich soll die OECD nach wirksamen Methoden für den Schutz der Pri- vatsphäre unter Berücksichtigung der verschiedenen Rechtsmodelle suchen. (siehe auch S. 169 von der Schweiz vorgelegtes Papier im Zusammenhang mit e-commerce und Datenschutz)
Schliesslich ist noch zu erwähnen, dass im Laufe der Konferenz auch Konsu- mentenorganisationen ähnliche Forderungen zur Schutz der Privatsphäre der Verbraucher gestellt haben. Diese Organisationen haben mit Nachdruck daran hingewiesen, dass der Schutz der Verbraucher ein wesentliches Thema bei der Entwicklung des elektronischen Geschäftsverkehrs sein muss.
$UEHLWVJUXSSHÅEHU,QIRUPDWLRQVVLFKHUKHLWXQG6FKXW]GHU3ULYDWVSKlUH
'LH$UEHLWHQGHU$UEHLWVJUXSSHÅEHU,QIRUPDWLRQVVLFKHUKHLWXQG6FKXW]GHU3ULYDWV SKlUHKDEHQVLFKKDXSWVlFKOLFKDXIGLH9RUEHUHLWXQJGHU2WWDZD.RQIHUHQ]NRQ]HQ WULHUW3ULPlUZXUGHQ(UNOlUXQJHQYRUEHUHLWHWGLHDQGHU.RQIHUHQ]GHQWHLOQHKPHQ GHQ0LQLVWHUQ]XP(QWVFKHLGYRUJHOHJWZXUGHQ+LQVLFKWOLFKGHV6FKXW]HVGHU3ULYDWV SKlUHJDEHV'LYHUJHQ]HQ]ZLVFKHQGHQ9HUHLQLJWHQ6WDDWHQHLQHUVHLWVVRZLHGHQHXUR SlLVFKHQ6WDDWHQXQG.DQDGDDQGHUHUVHLWV
Einige europäische Staaten (inkl. die Schweiz) sowie Kanada wollten die Erklä- rungen nicht nur deklarativ gestalten. Vielmehr sollten die Erklärungen die Re- gierungen verpflichten, für einen effektiven Schutz der Privatsphäre zu sorgen. Vor allem die Vereinigten Staaten sowie auch einige europäische Länder haben dieses Vorhaben verhindert. Dementsprechend ist der Inhalt der Erklärungen aus der Sicht des Datenschutzes sehr allgemein ausgefallen. Die Uneinigkeit unter den EU-Mitgliedstaaten in Sachen Datenschutz ist den Interessen der Ver- einigten Staaten (nämlich so wenig Schutz der Privatsphäre wie möglich) ent- gegengekommen. Offensichtlich gab es kein koordiniertes Vorgehen der EU- Länder, so dass der Vertreter der EU-Kommission während den Verhandlungen mehrmals alleine die Prinzipien der EU-Richtlinie zu vertreten hatte. Es ist bedauerlich, dass ein unkoordiniertes Vorgehen der Staaten, welche in Sachen Datenschutz zumindest ähnliche, wenn nicht gleiche Schutzbestim- mungen kennen, dazu führt, dass sich die Position der USA durchsetzen kann. In Zukunft wird ein koordiniertes Vorgehen der Staaten mit gleichen oder ähn- lichen Datenschutzbestimmungen (Mitglieder des Europarates, Kanada und Australien) unabdingbar sein, um der extrem liberalen Politik der USA entge- genzuwirken (siehe dazu auch Selbstregulierung und Schutz der Privatsphäre S. 128). Nach Abschluss der Ottawa-Konferenz hat die Arbeitsgruppe über Informationssicherheit und Schutz der Privatsphäre die Resultate der Konferenz
158 evaluiert und das Programm für zukünftige Arbeiten den verschiedenen Delegationen unterbreitet. Die Gruppe wird sich vor allem damit befassen, praktische und technische Lösungen für den Schutz der Privatsphäre in der vir- tuellen Welt zu erarbeiten. Wir haben bei dieser Gelegenheit ein Grundsatz- papier über die Mindestanforderungen zum Schutz der Privatsphäre im Umfeld des elektronischen Geschäftsverkehrs vorgelegt (vgl. S. 169 im Anhang).
,QWHUQDWLRQDOH$UEHLWVJUXSSHIÅU'DWHQVFKXW]LQGHU7HOHNRP PXQLNDWLRQ
Der EDSB hat am 9./10. November 1998 an der 24. Sitzung der Arbeitsgruppe in Berlin teilgenommen. Die Gruppe erarbeitet und publiziert gemeinsame Posi- tionen und Memoranden im Bereich der Telekommunikation und der Medien und fördert die Diskussion und den Informationsaustausch der teilnehmenden Vertreter der Datenschutzbeauftragten. Schwerpunkte der Herbstsitzung 1998 waren die Entwicklung des Telekommunikationsrechts im – in vielen Staaten – kürzlich liberalisierten Umfeld, staatliche Regulierungen des Einsatzes von Kryptografie sowie Datenschutzfragen im Internet, insbesondere die Publi- kation von öffentlich zugänglichen Daten (siehe auch: http://www.datenschutz- berlin.de/doc/int/index.htm#iwgdpt).
159 ,9'(5(,'*(1g66,6&+('$7(16&+87=%($8)75$7( )ÅQIWHVFKZHL]HULVFKH.RQIHUHQ]GHU'DWHQVFKXW]EHDXIWUDJWHQ 'LHIÅQIWHVFKZHL]HULVFKH.RQIHUHQ]GHU'DWHQVFKXW]EHDXIWUDJWHQIDQGDP2NWREHU DQGHU8QLYHUVLWlW)UHLEXUJVWDWW2UJDQLVLHUWZXUGHVLHYRQGHU'DWHQVFKXW]EH K|UGHGHV.DQWRQV)UHLEXUJ$QGHU.RQIHUHQ]EHWHLOLJWHQVLFKGHU(LGJHQ|VVLVFKH 'DWHQVFKXW]EHDXIWUDJWHGLH'DWHQVFKXW]EHDXIWUDJWHQGHU.DQWRQHXQGHPHLQGHQ VRZLHGLH'DWHQVFKXW]EHUDWHUGHU)UHLEXUJHU.DQWRQVYHUZDOWXQJ,P$QVFKOXVVDQGLH .RQIHUHQ]RUJDQLVLHUWHGDV(XURSDLQVWLWXWGHU8QLYHUVLWlW)UHLEXUJHLQ.ROORTXLXP ]XPHXURSlLVFKHQ'DWHQVFKXW]UHFKW Behandelt wurden folgende Themen : Folgearbeiten zur Resolution der 4. Kon- ferenz über die ICD-10-Diagnose-Codes (siehe 5. Tätigkeitsbericht 1997/98 S. 111 und 122), Volkszählung 2000, Ergebnisse der Umfrage des EDSB im Be- reich Mobiltelefonie, DNA-Register in Strafverfahren, Datenschutz nach dem Tod, Bearbeitung von Personendaten zu Polizeizwecken (vor allem Videoüber- wachung auf Autobahnen, Outsourcing von Polizeidaten), Datenschutz und Telefonüberwachung am Arbeitsplatz sowie das Recht auf Sperrung der Wei- tergabe von Personendaten durch Kantons- oder Gemeindeorgane. Die Konferenz hat einstimmig eine Resolution zum DNA-Register verabschiedet (siehe www.edsb.ch). Seit einiger Zeit greifen die Strafverfolgungsbehörden zur Aufklärung von Straftaten auf DNA-Analysen zurück. Anhand des genetischen Fingerabdrucks können Schuldige identifiziert bzw. Unschuldige entlastet werden. Ausserdem liefern diese Analysen weitere Informationen, vor allem über Verwandtschaftsverhältnisse. Falls Zellmaterial aufbewahrt wird, lassen sich daraus Informationen über Krankheitsanlagen und über das Erbgut der betroffenen Personen gewinnen. Solche DNA-Analysen bedeuten eine Gefahr für die Grundrechte der Betroffenen. Die Aufbewahrung von DNA-Analyse-Proben und -Resultaten nach der Entlastung der betroffenen Personen oder nach Abschluss des Strafverfahrens bedeutet einen Verstoss gegen die Unschuldsvermutung (BGE 124 I 80). Die Schweizerische Konferenz der Datenschutzbeauftragten verlangte, dass vor der Einführung eines DNA-Registers zu Strafverfolgungszwecken und vor der Aufbewahrung von genetischem Material die notwendigen Rechtsgrundlagen zu schaffen sind. Die Aufbewahrung der Proben sollte zudem zeitlich befristet werden. Das Zellmaterial darf nach Abschluss des Strafverfahrens, nach einem Einstellungsbeschluss oder der Aussetzung des Verfahrens grundsätzlich nicht mehr aufbewahrt werden (vgl. S. 96).
160 Zum Recht auf Sperrung stellte die Konferenz fest, dass die Register öffent- licher Organe, vor allem jene der Einwohnerkontrollen, zu den verschiedensten Zwecken genutzt werden. Um dem Bürger die Herrschaft über seine Daten zu garantierten, betont die Schweizerische Konferenz der Datenschutzbeauftragten das Recht, sich der Weitergabe von Personendaten vor allem zu Werbe- oder kommerziellen Zwecken zu widersetzen. Die Konferenz empfiehlt, ein allge- meines Sperrrecht in Bezug auf die Weitergabe von Personendaten zu Werbe- und kommerziellen Zwecken- ohne Begründungspflicht – einzuführen, sofern ein solches nicht schon gegeben ist. Schliesslich appelliert sie an die Kantons- und Gemeindebehörden, ihre Bürger über dieses Recht zu informieren. (vgl. S. 112) Die Arbeitsgruppe der kantonalen Datenschutzbeauftragten, mit welcher der EDSB eng zusammenarbeitet, setzte sich vor allem mit Fragen in den Bereichen Gesundheit und Genetik, Statistik (besonders Volkszählung), Beschäftigung (telefonische Überwachung am Arbeitsplatz, künftig Gegenstand einer Richt- linie), Polizei, Datensicherheit und Adressenhandel auseinander. 'DV$XVELOGXQJVNRQ]HSWGHV('6% =XVlW]OLFK]XGHQÅEOLFKHQ.XUVHQ]XP7KHPD'DWHQVFKXW]VWUHEWGHU('6%LQVHLQHP $XVELOGXQJVNRQ]HSWGLH9HUDQNHUXQJYRQ3UR]HVVHQDQ'DEHLKDQGHOWHVVLFKXP'D WHQVFKXW]DNWLYLWlWHQLQGHQ%HUHLFKHQ)ÅKUXQJ$QPHOGXQJbQGHUXQJ.RQWUROOHXQG 6\VWHPHQWZLFNOXQJ=LHOSXEOLNXPVLQG'LUHNWRUHQ'DWHQVFKXW]EHUDWHUXQG,QIRUPD WLNYHUDQWZRUWOLFKH'DV.RQ]HSWVLHKWHLQH9HUQHW]XQJGLHVHU3HUVRQHQNUHLVHYRU'LH $XVELOGXQJZLUGMHGRFKJH]LHOWDXIGLH%HGÅUIQLVVHGHU$GUHVVDWHQHLQJHKHQ*HVWDUWHW ZLUGGDPLWLQGHU%XQGHVYHUZDOWXQJ'DV.RQ]HSWVROODXFKDXIGLH3ULYDW ZLUWVFKDIWDXVJHGHKQWZHUGHQ Mit dem Ausbildungskonzept sollen mehrere Ziele erreicht werden. So werden die Hauptanliegen des Datenschutzes, mögliche Risiken, der resultierende Ei- gennutzen der Zielgruppen und die Verantwortlichkeiten aufgezeigt. Über den Führungsprozess sollen die Schlüsselpersonen für die Einhaltung von Datenschutzvorschriften wie Direktoren, Datenschutzberater und Informatik- verantwortliche zusammengebracht werden. Mit Hilfe eines Aktionsplanes zei- gen diese Mitarbeiter ihrem Direktor die vorhandenen Risiken auf und schlagen Massnahmen zu deren Beseitigung vor. An einer periodisch stattfindenden Sitzung priorisiert der Direktor diese Massnahmen und weist sie einem Verant- wortlichen zur Ausführung zu. Er informiert sich über den Stand früherer Auf-
161 träge. Diese Sitzungen dienen dem Datenschutzberater auch als Basis, um Neu- anmeldungen resp. Mutationen im Register der Datensammlungen beim EDSB vorzunehmen. Wenn in Datenschutzvorschriften interne Kontrollen vorgesehen sind, soll auch an diesen Sitzungen über deren Resultate informiert werden. Nicht zuletzt zeigen diese Sitzungen auf, welchen Stellenwert die Direktion Datenschutz und Datensicherheit beimisst. Bei der Ausbildung von Informatikverantwortlichen und Projektteams geht es hauptsächlich um die Frage, wie Informationssysteme datenschutzfreundlich gestaltet werden können. Hier soll Transparenz bezüglich Rollen, Zweck der Rolle, Tätigkeiten sowie der dazu benötigten Daten geschaffen werden. Damit kann die Verhältnismässigkeit der Datenbearbeitung beurteilt werden. Die Ausbildungsveranstaltungen sollen namentlich Missverständnisse besei- tigen, Synergien wecken und eine gute Zusammenarbeit fördern. 'LH3XEOLNDWLRQHQGHV('6%1HXHUVFKHLQXQJHQ
162 6WDWLVWLNÅEHUGLH7lWLJNHLWGHV('6%
163
164
165
166
167
168 'DV6HNUHWDULDWGHV(LGJHQ|VVLVFKH'DWHQVFKXW]EHDXIWUDJWHQ Eidgenössischer Datenschutzbeauftragter:Guntern Odilo, Dr. iur. Stellvertreter:Walter Jean-Philippe, Dr. iur. Sekretariat: Leiter:Walter Jean-Philippe, Dr. iur. Stellvertreterin:Grand Carmen, lic. iur. Delegierter für Information und PresseTsiraktsopulos Kosmas, lic. iur. Rechtsdienst:Atia-Off Katrin, Dr. iur. Buntschu Marc, lic. iur. Costa Giordano, lic. iur. Horschik Matthias, Fürsprecher Kardosch Milica, lic. iur. Schnyder Michael, lic. iur., Informatiker Schönbett Frédéric, lic. iur. Tsiraktsopulos Kosmas, lic. iur. Wiederkehr Rita, Fürsprecherin Informatikdienst:Scherrer Urs, Informatiker Schnyder Michael, lic. iur., Informatiker Stüssi Philipp, lic. phil. nat., Informatiker Kanzlei:Blattmann Doris Purro Isabelle Rappo Nicole
169 9 $1+$1* 'HU6FKXW]GHU3ULYDWVSKlUHLPHOHNWURQLVFKHQ*HVFKlIWVYHUNHKU Vom EDSB im Rahmen der Arbeiten der OECD Arbeitsgruppe eingereichtes Dokument Die Interessen und Anliegen der Konsumenten müssen bei gesellschaftspolitischen Entscheidungen über Handelstransaktionen von zentraler Bedeutung sein. Es ist unbestritten, dass sich der elektronische Geschäftsverkehr nicht ohne Konsumenten entwickeln kann. Aus diesem Grund müssen Vorkehrungen getroffen werden, um das Vertrauen der Konsumenten im elektronischen Geschäftsverkehr zu stärken, insbesondere durch folgende Massnahmen zum Schutze der Privatsphäre:
170 /HLWOLQLHQGHV(XURSDUDWHVÅEHUGHQ6FKXW]GHU3ULYDWVSKlUHLP ,QWHUQHW siehe S. 360
171 (UNOlUXQJGHUXQDEKlQJLJHQ'DWHQVFKXW]EHK|UGHQ,QWHUQDWLRQDOH .RQIHUHQ]LQ6DQWLDJRGH&RPSRVWHOD6SDQLHQDPXQG 6HSWHPEHU (5./b581* 'LHXQDEKlQJLJHQ'DWHQVFKXW]EHK|UGHQGHU(XURSlLVFKHQ8QLRQ]XVDPPHQPLWGHQMHQLJHQ YRQ,VODQG1RUZHJHQXQGGHU6FKZHL]GLHVLFKLP$QVFKOXVVDQGLH,QWHUQDWLRQDOH .RQIHUHQ]LQ6DQWLDJRGH&RPSRVWHOD6SDQLHQDPXQG6HSWHPEHUJHWURIIHQ KDEHQ VLQGÅEHU]HXJW, dass das Internet als ein Mittel dienen kann, die Demokratie zu stärken, indem es den Bürgern erlaubt, besser an öffentlichen Debatten teilzunehmen, und indem es öffentlichen Angelegenheiten höhere Publizität verschafft. 6LHPDFKHQGDUDXIDXIPHUNVDP
6LHVLQGGHU$QVLFKW, dass auf der Basis der Grundsätze des Schutzes personenbezogener Daten, die in vielen Staaten bereits anerkannt sind und die auch für das Internet gelten, alle Staaten, und insbesondere diejenigen, in denen die Nutzung der neuen Technologien am weitesten verbreitet ist, Massnahmen zum Schutz personenbezogener Daten ergreifen und verstärken und eine internationale Kooperation fördern müssen, die auf den weltweit anerkannten Werten beruhen und die sicherstellt, dass die steigende Nutzung des Internet keine Folgen hervorbringt, die mit dem Schutz personenbezogener Daten und der Persönlichkeitsrechte nicht vereinbar sind.
6LHZHLVHQLQVEHVRQGHUHGDUDXIKLQ
dass Daten, die dafür missbraucht werden können, Personen Gefahren auszusetzen oder sie herabzusetzen, auf dem Internet nicht in einer Weise verbreitet werden dürfen, die einen solchen Missbrauch ermöglicht
dass effektive rechtliche und technische Massnahmen entwickelt werden sollten, die es den betroffenen Personen ermöglichen, die Nutzung ihrer personenbezogenen Daten selbst zu bestimmen und zu kontrollieren,
dass effektive Massnahmen ergriffen werden sollten, um die Uebereinstimmung mit den Prinzipien des Datenschutzes sicherzustellen durch alle Beteiligten, die verantwortlich für die Verbreitung oder Sammlung personenbezogener Daten im Internet sind oder die technische Infrastruktur des Internet zur Verfügung stellen.
172 (PSIHKOXQJHQIÅUHLQHGDWHQVFKXW]IUHXQGOLFKH*HVWDOWXQJYRQ :HEVLWHV([SHUWHQVWXGLHGHU2(&'
siehe S. 364
173 0HUNEODWWÅEHUSULYDWH0DUNWXQG0HLQXQJVXPIUDJHQ
'HU (LGJHQ|VVLVFKH 'DWHQVFKXW] EHDXIWUDJWHLQIRUPLHUW
0(5.%/$77h%(535,9$7(0$5.781' 0(,181680)5$(1
Adressen und andere persönliche Daten potentieller Kunden sind für ein effizientes Direktmarketing von entscheidender Bedeutung. Mit Hilfe möglichst genauer Informationen über Alter, Beruf, Konsumverhalten, usw. kann das Risiko vergeblicher Werbung minimiert werden. In der Bevölkerung gibt es eine grosse Bereitschaft zur Auskunftserteilung. Selbst intime Da- ten werden preisgegeben, wenn die Befragten meinen, sie würden ihre Daten für ein wissenschaftliches Projekt zur Verfügung stellen. Besonders ergiebig scheint es zu sein, solche Umfragen in Verbindung mit der Teilnahme an einem Wettbewerb oder einem Gewinnspiel durchzuführen. Somit werden potentielle Kunden veranlasst, ihre Daten IUHLZLOOLJ herauszugeben. Solche verdeckte kommerzielle Datenerhebungen (pseudowissenschaftliche Erhebungen) und deshalb als solche nicht erkennbare Werbemassnahmen sind unzulässig.
6FKULIWOLFKH0DUNWXQG0HLQXQJVXPIUDJHQ
Sie erhalten per Post von einem Institut für Meinungsforschung oder irgendeiner Handelsgesellschaft einen Fragenbogen zu einen bestimmten Thema. In solchen Fällen sollten Sie wissen, dass Sie nicht verpflichtet sind, an der Umfrage teilzu- nehmen. Wenn Sie jedoch teilnehmen wollen, müssen Sie genau wissen, worauf Sie sich mit der Beantwortung der Fragen einlassen. In der Regel begnügen sich die Befrager damit, das Ziel der Umfrage grob zu umschreiben. Oder die Befragung ist direkt mit der Teilnahme an einem Wettbewerb oder einer Verlosung oder mit einer Geschenk verbunden. Dieses Vorgehen ist jedoch nicht korrekt und damit rechtswidrig. Die Befrager müssen Sie über ihr Vorhaben klar und unmissverständlich informieren und bei Ihnen keine falsche Vorstellungen wecken. Achten Sie deshalb auf folgende Punkte:
Falls die Antwort auf eine dieser Fragen ”Nein” lautet, ist die Korrektheit der Umfrage zweifelhaft, und Sie sollten sich lieber zwei Mal überlegen, ob Sie daran teilnehmen wollen. Denn in vielen Fällen wird der Zweck der Meinungsforschung nur vorgeschoben, während der eigentliche Zweck der Befragung weitgehend im Dunkeln bleibt.
Falls Sie für eine solche Umfrage direkt mit Namen angeschrieben werden, können Sie Ihre Adresse für Werbezwecke sperren lassen. Weitere Informationen finden sich im Merkblatt über die Sperrung der Adresse für Werbezwecke. Zu beziehen beim EDSB.
174 7HOHIRQLVFKH0DUNWXQG0HLQXQJVXPIUDJHQ
Das Telefon klingelt. Sie greifen zum Telefon und werden gefragt ob Sie bereit wären, einige Fragen für eine bestimmte Meinungsumfrage zu beantworten. Solche sogenannten Meinungsumfragen können durchaus in Ihre persönliche Freiheit eingreifen. Trotzdem werden immer wieder persönliche Fragen am Telefon grosszügig beantwortet und damit Informationen weitergegeben, die selbst einem Bekannten nicht preisgegeben würden. Auch recht harmlose Fragen über Ihr Konsumverhalten, Freizeitverhalten usw. können durchaus unangenehme Konsequenzen haben.
Ursache für die oft allzu bereitwillige Teilnahme der Befragten ist nicht zuletzt der durchhaus gewollte "Überrumpelungs-Effekt" solcher telefonischer Umfragen, resp. die Unfähigkeit der Befragten "Nein" zu sagen.
Vergessen Sie nicht : Ihre Teilnahme an solchen Umfragen ist freiwillig ! Lassen Sie sich nicht überraschen und bevor Sie Informationen zur eigenen Person preisge- ben, empfehlen wir Ihnen, falls Sie überhaupt teilnehmen wollen, folgende Informationen zu verlangen:
Falls sich der Anrufende nicht identifiziert oder die von ihm gemachten Angaben zweifelhaft erscheinen, beenden Sie das Telefongespräch. Erst wenn Sie sich über die Identität des Anrufenden vergewissert haben, können Sie an- schliessend entscheiden, ob sie die Fragen beantworten möchten. Es ist Ihnen freigestellt auch während der Befragung die eine oder andere Frage nicht zu beantworten. Lassen Sie sich nicht täuschen, wenn die Teilnahme oder die Beantwortung aller Fragen mit einer Verlosung oder Gewinnspiel verbunden wird. Solche Vorgehensweisen verstossen ge- gen Treu und Glauben und sind rechtwidrig.
$&+781*
Falls Sie zusätzliche Fragen haben, wenden Sie sich an den Eidgenössischen Datenschutz- beauftragten, 3003 Bern, Tel: 031/322 43 95
175 'DWHQVFKXW]EHLP6SHQGHVDPPHOQ'DV,QIREODWWGHU=(:2
(ZEWO=Zentralstelle für Wohlfahrtsunternehmen)
Datenschutz beim Spendensammeln: mehr als nur lästige Pflicht
Vielen SpenderInnen ist es ein wichtiges Anliegen, dass ihre Adresse nicht unkontrolliert verbreitet wird. Die ZEWO fordert von Institutionen, die mit dem Gütesiegel ausgezeichnet sind, seit langem einen verantwortungsbewussten Umgang mit Daten von Spendenden. Seit Inkrafttreten des Datenschutzgesetzes besteht dazu auch eine rechtliche Verpflichtung. Ein korrekter Umgang mit Personendaten kann im Wettbewerb um den knappen Spendenfranken durchaus ein Argument sein. Für die ZEWO ist das Thema Spendensammeln und Datenschutz derzeit Schwerpunkt ihrer Informationsarbeit.
Zu den täglichen Klagen von Spenderinnen und Spendern am ZEWO- Auskunftstelefon gehört jene Über die Flut von Spendenaufrufen. Besonders verärgert und enttäuscht reagieren Personen, die einer ganz bestimmten Institution spenden und dann mit persönlich adressierten Mailings von anderen Organisationen überschwemmt werden. Eine solche Weitergabe von SpenderInnen-Adressen ist nicht nur dem Ruf der beteiligten Organisationen höchst abträglich, sondern untergräbt auch das Vertrauen in die gemeinnützige Arbeit im Allgemeinen. Institutionen, die mit dem ZEWO-Gütesiegel ausgezeichnet sind, ist es seit langem verwehrt, die Adressen von Spendenden ohne deren Einwilligung aussenstehenden Dritten zu überlassen. Dies ergibt sich aus Art. 7 des ZEWO-Sammlungsreglements: Demnach haben die gemeinnützigen Institutionen in ihrer Sammlungstätigkeit alles zu vermeiden, was das Vertrauen der SpenderInnen in die gemeinnützigen Institutionen beeinträchtigen könnte.
Datenschutzgesetz auf Adressdateien anwendbar Noch immer ist nicht allen Institutionen bewusst, dass solche Praktiken auch gesetzwidrig sein können. SpenderInnen-Adressen sind Daten im Sinne des Bundesgesetzes über den Datenschutz (DSG) vom 19. Juni 1992. Das Datenschutzgesetz gilt völlig unabhängig davon, ob die Adressensammlung auf dem vereinseigenen Computer gespeichert ist, in den Grosscomputer eines externen Rechenzentrums ausgelagert wurde oder in einem althergebrachten Zettelkasten untergebracht ist. Es definiert den Begriff Personendaten in Art. 3 als "alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen". Die Information, dass eine bestimmte Person einer bestimmten Organisation eine Spende hat zukommen lassen, erfüllt die Kriterien dieser Umschreibung ohne weiteres, weshalb die Regeln des Datenschutzgesetzes zur Anwendung kommen.
176 Besonders schützenswerte Daten Von den "gewöhnlichen" sind die "besonders schützenswerten" Personendaten zu unterscheiden. Das sind nach der Umschreibung von Art. 3 DSG unter anderem Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten sowie Daten, die die Gesundheit, Rassenzugehörigkeit oder Massnahmen der sozialen Hilfe betreffen. Insbesondere Klientendaten, wie sie Sozial- oder Gesundheitsorganisationen für ihre Arbeit brauchen, fallen in diese Kategorie, für deren Schutz und Sicherheit das Gesetz besonders hohe Anforderungen aufstellt. Adressdateien, die gemeinnützige Institutionen im Rahmen ihrer Mittelbeschaffung anlegen, enthalten zwar in aller Regel nur "gewöhnliche" Personendaten (Name, Adresse, Höhe und Datum der Spende, Projektbindung, Häufigkeit der Einzahlungen usw.). Ausnahmsweise ist jedoch eine Qualifikation als besonders schützenswerte Personendaten denkbar, und wenn eine umfassende Aufzeichnung des Spendenverhaltens einer Person eine Beurteilung wesentlicher Aspekte ihrer Persönlichkeit möglich macht (sog. Persönlichkeitsprofil), gelten die entsprechend strengeren Verpflichtungen aus dem Datenschutzgesetz für den Inhaber der Datensammlung.
Kein Weitergabe von Daten ohne Einwilligung Unabhängig davon, ob es sich bei einer Spendendatei um "gewöhnliche" oder um "besonders schützenswerte Personendaten" handelt, darf die gemeinnützige Organisation als Inhaberin der Datensammlung die Adressen ohne Einwilligung der SpenderInnen nicht an Dritte weitergeben. Dabei kommt es nicht darauf an, ob sie die Adressen verkauft, vermietet oder einer befreundeten Institution gratis ausleiht. Personendaten dürfen nämlich "nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde oder aus den Umständen ersichtlich ist" (Art. 4 Abs. 3 DSG). Wer den "blauen Falken" eine Spende überweist, rechnet wohl damit, dass die gute Tat später einen neuerlichen Spendenaufruf der "blauen Falken" auslösen wird, keinesfalls aber damit, dass ihm nun auch noch die Spendenappelle der "grünen Tauben" und der "roten Hühner" ins Haus flattern – vom Werbeprospekt einer Autofirma ganz zu schweigen. Die verärgerten Reaktionen vieler SpenderInnen belegen eindrücklich, dass sie weder mit einer Weitergabe ihrer Adresse gerechnet haben, noch einer solchen stillschweigend zugestimmt haben.
Zumindest zweifelhaft ist, ob die Verwendung einer SpenderInnen-Adresse durch die kommerzielle Abteilung derselben Organisation zulässig ist, beispielsweise einer gemeinnützigen Institution, die einen Versandhandel betreibt, dessen Gewinn wieder der Institution zufliesst. Gegen eine solche Nutzung spricht ein Beispiel in der Botschaft des Bundesrats zum Datenschutzgesetz, wonach Adressen, die im Zusammenhang mit einer Initiative gesammelt wurden, von den Initianten ohne Zustimmung des Betroffenen nicht zu kommerziellen Zwecken verwendet werden dürfen. Dieses
177 Beispiel liesse sich zwar auf das Verhältnis einer gemeinnützigen Organisation zu ihrer kommerziellen Abteilung übertragen. Wenigstens solange der Zusammenhang zwischen ideeller und wirtschaftlicher Tätigkeit für den Adressaten klar erkennbar ist, dürfte gegen eine solche Verwendung jedoch im Ergebnis nichts einzuwenden sein.
Zu beachten ist ferner, dass gemäss Art. 4 DSG Personendaten nur rechtmässig – das heisst, in Übereinstimmung mit den Grundsätzen des Datenschutzgesetzes – beschafft werden dürfen. Eine gemeinnützige Organisation, welche bewusst widerrechtlich beschaffte Adressen einsetzt, bleibt somit haftbar.
Volle Verantwortung trotz Outsourcing Von der unzulässigen Weitergabe der SpenderInnendateien an Dritte ist deren Bearbeitung durch Dritte im Auftrag des Inhabers der Datensammmlung zu unterscheiden: Etwa wenn Druck und Versand von adressierten Mailings einer spezialisierten Firma übergeben wird, wenn Adressen zugekauft und abgeglichen, oder Rechenzentren mit der Auswertung von Mailings beauftragt werden. Das Datenschutzgesetz schliesst die Bearbeitung von Personendaten durch Dritte nicht aus, doch muss die Institution als Auftraggeberin dafür sorgen, dass die Daten nur so bearbeitet werden, wie sie es selbst tun dürfte (Art. 14 DSG). Sie muss alle gebotene Sorgfalt aufwenden, um Verstösse gegen das Datenschutzgesetz zu verhindern. Insbesondere muss sie den Auftragnehmer entsprechend auswählen, ihm die richtigen Instruktionen erteilen und ihn soweit als möglich überwachen. Lässt eine gemeinnützige Organisation das Spendensammeln durch einen aussenstehenden Dritten organisieren und durchführen, so ist im Vertrag mit dieser Firma der Adressschutz ausdrücklich sicherzustellen. Bei der Verwaltung der Adressen mehrerer Institutionen in einem gemeinsamen Pool sind diese Vorgaben des Datenschutzgesetzes nicht erfüllbar. Die gemeinnützige Institution gilt selbst bei gemieteten oder zugekauften und auswärts verwalteten Adressen spätestens ab deren Selektion als "Inhaberin" der Adressdatei. Sie kann sich somit der Verantwortung nach Datenschutzgesetz auch durch Auslagerung der Sammlungstätigkeit nicht entledigen.
Pflicht zur Löschung von Daten Nach Art. 4 DSG hat die Bearbeitung von Personendaten nach Treu und Glauben zu erfolgen und muss verhältnismässig sein. Daraus lässt sich die Verpflichtung ableiten, Adressen nach einer gewissen Zeit zu löschen, wenn die betroffenen Personen auf Sammlungsaufrufe nicht mehr reagieren. Schliesslich muss die Spenderadresse auf Verlangen gestrichen werden; Art. 12 DSG verbietet nämlich, Daten einer Person gegen deren ausdrücklichen Willen zu bearbeiten. Praktische Schwierigkeiten, aus einer Flut von Retouren die Streichungsbegehren zu verarbeiten, befreien von der Verpflichtung zur Streichung dieser Adresse selbstverständlich nicht. Insbesondere ist letztlich die
178 Institution für die Einhaltung des Datenschutzgesetzes verantwortlich, und nicht das kommerzielle Unternehmen, das die Sammlung organisiert hat.
Von untergeordneter Bedeutung dürfte bei SpenderInnen-Adressdateien die Verpflichtung des Inhabers sein, sich über die Richtigkeit der bearbeiteten Daten zu vergewissern und auf Verlangen unrichtige Daten zu berichtigen (Art. 5 DSG). Auch das Recht jeder Person, kostenlos Auskunft zu verlangen, ob und welche Daten über sie vorhanden sind (Auskunftsrecht nach Art. 8 DSG), dürfte in diesem Zusammenhang kaum beansprucht werden. Es besteht aber kein Zweifel, dass den Inhaber von Datensammlungen all diese Pflichten treffen.
Anmeldung von Datensammlungen Der eidgenössische Datenschutzbeauftragte führt ein Register der Datensammlungen. Registrierungspflichtig sind allerdings nur solche Datensammlungen, die besonders schützenswerte Personendaten oder Persönlichkeitsprofile enthalten, sofern die betroffenen Personen davon keine Kenntnis haben oder die Daten an Dritte bekanntgegeben werden. Spendenadressdateien fallen in aller Regel nicht darunter und müssen somit nicht angemeldet werden.
ZEWO-Richtlinien zum Adressschutz Die ZEWO hat sich immer wieder mit einzelnen Aspekten des Adressschutzes befasst und schon lange vor Inkrafttreten des Datenschutzgesetzes erste Regelungen für ZEWO-geprüfte Institutionen erlassen. So hat sie zum Umgang mit SpenderInnenadressen postuliert, dass SpenderInnen aufgrund ihrer Einzahlung an eine gemeinnützige Institution nicht von einer anderen um Spenden angegangen werden dürfen. Ferner hat die ZEWO ihre Mitgliedsinstitutionen verpflichtet, auf Wunsch der Spendenden deren Adresse zu streichen. Bei der Zusammenarbeit mit kommerziellen Firmen für die Mittelbeschaffung muss der Adressschutz ausdrücklich geregelt sein. Dies alles, damit SpenderInnen die Sicherheit haben, dass ihre Adresse nicht für andere Zwecke verwendet wird.
In einer von der ZEWO-Geschäftsstelle durchgeführten Umfrage vom Herbst 1997 betreffend den Schutz der SpenderInnenadressen hat eine grosse Mehrheit der ZEWO-anerkannten Organisationen erklärt, dass sie die Bedeutung des Datenschutzes erkannt hat und eine Initiative der ZEWO zu diesem Thema gutheisst.
Was zu tun ist Angesichts der Bedeutung, die viele SpenderInnen einem verantwortungsbewussten Umgang mit Adressen beimessen, wird die ZEWO die Öffentlichkeit verstärkt darauf hinweisen, dass das ZEWO-Gütesiegel auch den Schutz von SpenderInnenadressen gewährleistet. Für viele Spendende wird
179 dies ein starkes Argument sein beim Entscheid, wem sie spenden. Den gemeinnützigen Organisationen steht die ZEWO-Geschäftsstelle beratend zu Seite. Insbesondere die Ernennung einer institutionsinternen Datenverantwortlichen und der Erlass eines Datenschutzreglements, welches festschreibt, wer Zugriff auf Daten hat und wie deren Sicherheit gewährleistet wird, wären wirkungsvolle organisatorische Massnahmen. Allen Institutionen ist zu empfehlen, den Datenschutz zum Thema zu machen und sicherzustellen, dass mit SpenderInnenadressen und erst recht mit hoch sensiblen Klientendaten in einer Art und Weise umgegangen wird, die mit Gesetz und ZEWO- Reglementen vereinbar ist.
180 'DWHQTXDOLILNDWLRQEHLhEHUPLWWOXQJHQLQV$XVODQG
181 0RWLRQYRQ)HOWHQ'DV%HVFKZHUGHUHFKWGHV('6%
siehe S. 372
/LVWHGHUDOOJHPHLQJHKDOWHQHQ'LDJQRVHQ
(automatisch aus den in Spitälern für Statistikzwecke erfassten ICD-10 Codes ableitbar)
1.BESTIMMTE INFEKTIÖSE UND PARASITÄRE KRANKHEITEN
2.NEUBILDUNGEN -benigne/maligne
182 9.KRANKHEITEN DES KREISLAUFSYSTEMS -Hypertonie -Ischämische Herzkrankheit -Cor pulmonale und Krankheiten des Lungenkreislaufs inkl. Lungenembolie -valvuläre Herzerkrankung -Perikarditis -Myokarditis -Endokarditis -Kardiomyopathie -Rhythmusstörungen -Herzinfsuffizienz -zerebrovaskuläre Krankheiten
KRANKHEITEN DES ATMUNGSSYSTEMS
KRANKHEITEN DES VERDAUUNGSSYSTEMS -Krankheiten des oberen Verdauungstrakts -Krankheiten des unteren Verdauungstrakts (inkl. Crohn, Colitis ulcerosa) -Krankheiten der Leber
SCHWANGERSCHAFT, GEBURT UND WOCHENBETT
BESTIMMTE ZUSTÄNDE, DIE IHREN URSPRUNG IN DER PERINATALPERIODE HABEN
ANGEBORENE FEHLBILDUNGEN, DEFORMITÄTEN UND CHROMOSOMENANOMALIEN
SYMPTOME UND ABNORME KLINISCHE UND LABORBEFUNDE, DIE ANDERNORTS NICHT KLASSIFIZIERT SIND
183 19. VERLETZUNGEN, VERGIFTUNGEN UND BESTIMMTE ANDERE FOLGEN ÄUSSERER URSACHEN
184 (PSIHKOXQJHQGHV('6% (PSIHKOXQJLQ6DFKHQ3UÅIXQJGHU.UHGLWZÅUGLJNHLW±'DWHQ DEJOHLFK Bern, 18. Dezember 1998 (PSIHKOXQJ gemäss $UW$EV%XQGHVJHVHW]ÅEHUGHQ'DWHQVFKXW]YRP-XQL in Sachen Bearbeitung von Personendaten durch X I. Der Eidgenössische Datenschutzbeauftragte stellt folgenden Sachverhalt fest:
185 2. X liefert den Kunden die Bonitätsadressen auf Datenträgern zum Datenabgleich (Punkt 3 Vertrag für die Lieferung von Bonitätsadressen). Der gesamte Datenbestand von X wird laufend aktualisiert, weshalb den Kunden mindestens alle 4 Wochen immer wieder der gesamte Bestand des gewünschten Segmentes bekanntgegeben wird. Der Datenträger wird eingeschrieben und per Post an eine vom Kunden bestimmte Person geschickt. Die Operating- Räume sind nur mit Zugriffsberechtigung zugänglich und die Bestelladressen von Neukunden werden mit den Daten auf dem Datenträger batchmässig abgeglichen. Der Abgleich bezieht sich auf Name, Vorname, Adresse, PLZ und Ort. Bei voller Übereinstimmung von Bestell- und Datenbankkriterien werden die entsprechenden Negativdaten ausgedruckt.
Der Kunde verpflichtet sich vertraglich, die von X gelieferten Bonitätsadressen ausschliesslich für den eigenen, internen Gebrauch zu nutzen und keine Informationen im Sinne des Adresshandels an Dritte weiterzugeben oder zu verkaufen. Um missbräuchlicher Verwendung vorzubeugen, sind von der X notariell beglaubigte Kontrolladressen eingebaut worden. Sollte trotzdem Missbrauch festgestellt werden, können diese Adressen als Beweismittel bei einer allfälligen Untersuchung eingesetzt werden.
Nach dem Abgleich wird der Datenträger an die X zurückgeschickt. Gemäss Schreiben der X wird weder zwecks Fakturierung noch aus Sicherheitsgründen geprüft, wieviele Daten abgefragt worden sind. Im gleichen Schreiben wird die Frage, ob eine Kopie des Datenträgers erstellt werden könne, nicht beantwortet.
Auf die Datenbank von X erfolgen monatlich mehr als 40'000 Abfragen. Diese beziehen sich einerseits auf die tagesaktuellen Handelsregister-Informationen von über 350 000 Firmen und 600 000 Personen andererseits auf 3 Millionen Inkassodaten von rund 450 000 Schuldneradressen juristischer und natürlicher Personen. Da die Bekanntgabe nach bestimmten Segmenten an Kunden aus dieser beträchtlichen Anzahl von Daten eine geeignete Bearbeitungsmethoden darstellt, um die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen, verlangte der Eidgenössische Datenschutzbeauftragte eine Änderung der Bearbeitung und stellte den Erlass einer Empfehlung in Aussicht. X hielt an den geschilderten Bearbeitungsmethoden fest.
186 II.
Erwägungen
6.Der EDSB klärt im Privatrechtsbereich auf Meldung Dritter den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler, Art. 29 Abs. 1 lit. a DSG). Die Eidgenössische Datenschutzkommission hat in ihrem Entscheid vom 21. November 1996, S. 21, i. S. Mietwesen festgestellt, ”dass die Empfehlungsbefugnis des EDSB nach Art. 29. Abs. 1 lit. a DSG weiter zu interpretieren und nicht bloss auf Fehler von Informationssystemen der EDV zu beschränken sei”. Mit anderen Worten ist von einem ”Systemfehler” im Sinne der genannten Bestimmung auch dann zu sprechen, ”wenn die Bearbeitung von Daten inhaltlich rechtswidrig, d. h. die Bearbeitung als solche so angelegt ist, dass sie geeignet ist, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen”. Die regelmässige Bekanntgabe der ganzen gewünschten Segmente der Datensammlung auf Datenträgern an Kunden zwecks Datenabgleich insbesondere ohne entsprechende technische Sicherheitsmassnahmen ist geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen.
7.Name, Vorname und Adresse in Verbindung mit betreibungs- oder konkursrechtlichen Angaben sind Personendaten im Sinne von Art. 3 lit. a und b DSG. Es ist unbestritten, dass aus wirtschaftlicher Sicht ein Interesse an Informationen zur Überprüfung der finanziellen Situation der Vertragspartner besteht. Der Gesetzgeber hat diesem Bedürfnis im DSG auch Rechnung getragen, unter der Voraussetzung dass keine widerrechtliche Persönlichkeitsverletzung begangen wird und die allgemeinen Datenschutzgrundsätze eingehalten werden (Art. 12 Abs. 2 lit. a DSG). Diese Grundsätze stellen das ethische und rechtspolitische Fundament des DSG dar, und es soll deshalb nicht ohne zwingenden Grund gegen sie verstossen werden können (BBl 1988 II 458f). Die allgemeinen Grundsätze verlangen, dass Personendaten nur rechtmässig beschafft werden, ihre Bearbeitung nach Treu und Glauben erfolgt, zweckgebunden und verhältnismässig ist. Überdies müssen die Daten richtig sein (Art. 4 und 5 DSG). Der allgemeine Grundsatz der Verhältnismässigkeit verlangt insbesondere, dass zwar soviele Daten wie nötig gleichzeitig sowenige wie möglich bearbeitet werden. Die regelmässige Bekanntgabe des ganzen aktuellen Datenbestandes auf
187 Datenträgern zwecks Datenabgleich ohne mögliche technische Sicherung ist nicht verhältnismässig. Ferner ist nicht auszuschliessen, dass ein Kunde Kopien sämtlicher auf dem Datenträger vorhandenen Daten (trotz entgegenstehenden vertraglichen Verpflichtungen) erstellen kann, weshalb ein Rechtfertigungsgrund auch diese Datenbearbeitung legitimieren müsste (12 Abs. 2 lit. a i. V. m. Art. 13 DSG).
188 Hintergrund liegt eine nicht verhältnismässige Datenbekanntgabe vor, die von keinem Rechtfertigungsgrund legitimiert wird.
Wie der EDSB bereits 1994 in einer Empfehlung festgehalten hat, ”ist das globale, systematische Versenden von Kreditwarnlisten/Negativdaten mit Name, Adresse und Angaben über die finanzielle Situation evt. Schuldbetreibungs- und Konkursdaten potentieller Kunden zu unterlassen. Auskünfte sind nur einzelfallweise und auf Anfrage beim Inhaber der Datensammlung zu erteilen” (Eidgenössischer Datenschutzbeauftragter, 2. Tätigkeitsbericht 1994/95, S. 244 ff).
Unternehmen, die die Kreditwürdigkeit einer sehr grossen Anzahl von Personen zu prüfen haben, werden bei der Einzelabfrage mit einem erheblichen Aufwand konfrontiert, weshalb Lösungen gesucht werden müssen, welche eine datenschutzkonforme Prüfung ermöglichen. Das Argument, aus wirtschaftlichen und technischen Gründen würde das Matching (Datenabgleich) von einem Kunden von X, der die Daten nur so bearbeiten könne, wie dies X selbst tun dürfe, verfängt nicht. Die Weitergabe eines Datensegmentes an Kunden zwecks Datenabgleich oder Kreditüberprüfung verstösst in dieser Form gegen Art. 13 Abs. 2 lit. c DSG. Diese widerrechtliche Weitergabe lässt sich auch nicht legitimieren, indem der Kunde (Empfänger der Daten von X) als Auftragnehmer im Sinne von Art. 14 DSG bezeichnet wird. Denn der Kunde nimmt nicht eine Datenbearbeitung im Auftrag (im Sinne von Art. 14 DSG) der X vor, sondern er benutzt und bearbeitet diese Daten für eigene Zwecke beziehungsweise für die Überprüfung der Kreditwürdigkeit seiner eigenen Kunden. Überdies ist der zusätzliche Aufwand, welcher X aus einem Datenabgleich erwachsen würde, der Kontrollmöglichkeit allfälliger weiterer widerrechtlicher Bearbeitungen der Daten durch die Kunden der X gegenüberzustellen. Der Aufwand für den Datenabgleich von maximal neun Kunden pro Monat dürfte keinen erheblichen Zeitaufwand verursachen. Dieser Mehraufwand ist gegenüber der Gefahr einer möglichen widerrechtlichen und nicht kontrollierbaren Weiterbearbeitung durch Kunden von X geradezu vernachlässigbar.
Wie unsere zusätzlichen Abklärungen beim Bundesamt für Informatik, Sektion Informatiksicherheit, ergeben haben, ist es nach dem heutigen Stand der Technik jederzeit möglich einen Datenträger mit anderen Datenbanken (z. B. elektronisches Telefonverzeichnis) abzugleichen und Kopien aller vorhandenen Daten zu erstellen, welche anderweitig verwendet werden können. Diesen Umstand vermögen weder vertragliche Verpflichtungen noch notariell
189 beglaubigte Kontrolladressen hinreichend zu verhindern. Zudem könnte ein entsprechender Missbrauch ohne Kontrolle nur schwierig überprüft werden.
Damit die Erteilung von Kreditauskünften im Einklang mit Art. 13 Abs. 2 lit. c DSG stehen, müssten Datenabgleiche beim Inhaber der Datensammlung stattfinden, wie dies notabene auch für andere Unternehmen üblich ist. Voraussetzung bei diesem Vorgehen ist, dass X keine neuen Adressen speichert, die Daten nicht anderweitig verwendet und der Kunde lediglich diejenigen Kunden auf Kreditwürdigkeit überprüfen lässt, mit welchen er einen Vertrag abschliessen will. Nach dem Abgleich sind die Daten dem Kunden unverzüglich zurückzugeben.
X muss angemessene organisatorische und technische Massnahmen gegen unbefugtes Bearbeiten ergreifen. Insbesondere sind die Bonitätsdaten gegen den Zugriff Dritter zu schützen (Art. 7 DSG i.V. m. Art. 8 ff Verordnung zum Bundesgesetz). III. Der Eidgenössische Datenschutzbeauftragte gelangt daher zu folgender E m p f e h l u n g:
X unterlässt ab sofort das generelle Bekanntgeben von Bonitätsadressen an Dritte (Kunden).
Unter der Voraussetzung, dass keine anderen technischen Mittel für einen datenschutzkonformen Abgleich bestehen, dürfen Daten zur Prüfung der Kreditwürdigkeit im Zusammenhang mit einem Vertragsabschluss nur bei X einzelfallweise abgefragt oder bei X
190 abgeglichen werden. Die Daten von Kunden dürfen von X nur soweit und solange dies für die Erbringung der Dienstleistung (Datenabgleich) notwendig ist bearbeitet werden. Die Originaldaten des Kunden sind diesem zurückzusenden und allfällige bei X angefallenen Arbeitskopien sind unverzüglich zu vernichten. Entsprechende technische und organisatorische Massnahmen müssen gewährleisten, dass unbefugte Dritte keine Kenntnis von Bonitätsadressen der Kunden erlangen können.
X benachrichtigt den EDSB innerhalb von dreissig Tagen, ob sie die Empfehlung ablehnt oder nicht. Wird die Empfehlung abgelehnt oder stellt der EDSB nach Ablauf dieser Frist fest, dass sie nicht eingehalten wird, so kann er die Angelegenheit gemäss Art. 29 Abs. 4 DSG der Eidgenössischen Datenschutzkommission zum Entscheid vorlegen.
Die Empfehlung wird mitgeteilt: (,'*(1g66,6&+(5 '$7(16&+87=%($8)75$*7(5 Der Beauftragte: O. Guntern