@vqtr††v†pur…Q…ƒ‚†sq…hyyh 9h‡r†puˆ‡“irhˆs‡…ht‡r…ƒ…‚‡rp‡v‚qr†q‚r†

$ U‡vtxrv‡†ir…vpu‡$€r Shƒƒ‚…‡qhp‡v‰v‡† ((&(' ((&('

U‡vtxrv‡†ir…vpu‡ ((&('qr†@vqtr††v†pur9h‡r†puˆ‡“irhˆs‡…ht‡r $ Dieser Bericht ist auch über das Internet (www.edsb.ch ) abrufbar

Shƒƒ‚…‡qhp‡v‰v‡† ((&('qˆQ…ƒ‚†sq…hyyhƒ…‚‡rp‡v‚qrq‚r† % Ce rapport est également disponible sur Internet (www.edsb.ch )

Vertrieb: Eidgenössische Drucksachen- und Materialzentrale (EDMZ), 3000 Bern

Form.410.005 df 5.98 1400 U 39544

@vqtr††v†pur…9h‡r†puˆ‡“irhˆs‡…ht‡r…

U‡vtxrv‡†ir…vpu‡ ((&('

Der Eidgenössische Datenschutzbeauftragte hat dem Bundesrat periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 Datenschutzgesetz). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 1997 und 31. März 1998 ab.

5. Tätigkeitsbericht 1997/1998 des EDSB 5

DIC6GUTW@Sa@D8CIDT 67F5SaVIBTW@Sa@D8CIDT D 6VTB@X˜CGU@UC@H@I ! Q‚yv“rvr†r ! 1.1 Schaffung gesetzlicher Grundlagen für Personenregister durch das Bundesamt für Polizeiwesen 12

DQ6T 12 9h‡r†h€€yˆtrqr†T‡…h††r‰r…xru…†tr†r‡“r†TWB 13 6ˆ‡‚€h‡v†vr…‡r†T‡…hs…rtv†‡r…WPTUS6 14 1.2. Zentralstellen-Verordnung 14 1.3. Meldestelle Geldwäscherei 15 1.4. Auskunftsrecht nach dem Bundesgesetz über kriminalpolizeiliche Kriminalstellen des Bundes 16

1.5. Datenverarbeitungssystem zur Bekämpfung des organisierten Verbrechens ISOK 17 1.6. Expertenkommission für eine gesamtschweizerische DNA-Profil-Datenbank im Polizeibereich 17

1.7. Verordnung über den Dienst für die Überwachung des Post- und Fernmeldeverkehrs 18 ! 6ˆ†yqr…ˆq6†’y…rpu‡ ' 2.1. Beanstandung von Polizeizugriffen auf die Asylbewerber- und Ausländerdaten- sammlungen des EJPD - ungleich lange Spiesse in einem heiklen Bereich 18

2.2. Elektronische Visa-Ausstellung im In- und Ausland; vom EDV-Projekt zur Gesetzesvorschrift 20

2.3. EDV-Sicherheit bei der Zusammenarbeit der Fremdenpolizeibehörden von Bund und Kantonen 20

2.4. Zu den Grenzen der kantonalen Vollzugsautonomie im Ausländerrecht am Beispiel der Amtshilfe 21

2.5. Zur Sicherheit des «Sicherheitskontos» für Asylbewerber bei der Post und zum Sicherheitsbericht des Bundesamtes für Flüchtlinge 22

2.6. Die Namensänderung nach ZGB wirkt auch bei einem Ausländer 22 2.7. Datenschutzvorgaben bei der Erhebung von Ausländer- und Asylbewerberdaten zu Forschungszwecken 23

2.8 Datenschutz beim revidierten Asylgesetz und Ausländergesetz - im Ständerat unbestritten 23

" Uryrx‚€€ˆvxh‡v‚!# 3.1. Das neue Fernmelderecht* 24 9h†7rv†ƒvryTv††p‚€ 25 3.2. Die Datenschutzvorschriften für Konzessionäre der Grundversorgung* 25 3.3. Das Auskunftsrecht und die Bekanntgabe von Daten zur Rechnungsstellung an den Abonnenten* 26

3.4. Rufnummeranzeige und -unterdrückung 26 3.5. Identifizierung/Registrierung der NATEL-easy-Benutzer ? 27 3.6. Live-Kameras im Internet 28 3.7. Postfinance - Allgemeine Geschäftsbedingungen 29

Qr…†‚hyr†r"

7ˆqr†‰r…hy‡ˆt 30 4.1. Leistungserfassungssysteme in der Bundesverwaltung 30 4.2. Die Bekanntgabe von Arbeitslosendaten auf dem Internet 31 4.3. Revisionsarbeiten in der Beamtengesetzgebung und das System BV-PLUS 32 4.4. Publikation von Sonderprämien und Beförderungen in der Bundesverwaltung 35 4.5. Die Weitergabe von Sozialversicherungsdaten an Betreibungsbehörden 35 4.6. Öffnen privater Post durch den Arbeitgeber 36 Q…v‰h‡ir…rvpu 36 4.7. Unzulässige Bekanntgabe von Personendaten im Bewerbungsverfahren 36 4.8. Überwachung der Arbeitnehmer am Arbeitsplatz 37 4.9. Datenschutzaspekte bei Firmenverkäufen 38 $ Wr…†vpur…ˆt†r†r"( T‚“vhy‰r…†vpur…ˆtr 39 5.1. Merkblatt und Einwilligungsklauseln 39

5. Tätigkeitsbericht 1997/1998 des EDSB 6

• Originaltext auf Französisch 5.2. Tendenzen im Sozialdatenschutz 41 5.3. Die Aufsicht des BSV in Fragen des Datenschutzes 41 5.4. Das «AHV-Spiegelregister» 42 5.5. Die Weitergabe von Personendaten durch die SUVA 43 5.6. Das Auskunftsrecht im Unfallversicherungsbereich 44 Q…v‰h‡‰r…†vpur…ˆtr 44 5.7. Die interne Organisation der privaten Unfallversicherungsgesellschaften 44 5.8. Interne Akten - Externe Akten 45 5.9. Die Notwendigkeit der Vertrauensärzte im Krankenversicherungsbereich 46 5.10. Die Antragsformulare der Versicherungen und das Verhältnismässigkeitsprinzip 47 % Br†ˆqurv‡†r†r#' 6.1. Expertenkommission Berufsgeheimnis medizinische Forschung : - Krebsregister des Kantons Wallis 48

6.2. Verordnung über die Meldung übertragbarer Krankheiten des Menschen: fehlende Grundlage im Epidemiengesetz 49

6.3. Die H+ Spitalstatistik wird endlich mit anonymisierten Daten geführt 49 6.4. SUVA Jahresbericht 1996: Richtigstellung über angebliche Äusserungen der Datenschutzbeauftragten 50

& F…rqv‡r†r$ 7.1. Anforderungen an die Allgemeinen Geschäftsbedingungen und die Anträge bei Kreditkarten 51

7.2. Publikation von Listen betreffend Zahlungsfähigkeit 52 ' 9v…rx‡€h…xr‡vt$# 8.1. Adresshandel 54 8.2. Vereine: Weitergabe von Mitgliederlisten an Vereinsmitglieder 56 8.3. Internationales Marketing und Datenschutz 57 ( T‡h‡v†‡vx$' 9.1. Volkszählung 2000 - Eine Übergangsvolkszählung 58 9.2. Zur Problematik der datenschutzkonformen Bearbeitung von geokodierten Daten 59 DD X@DU@S@UC@H@I%! Fˆqrxh…‡r%! 1.1. Die Bearbeitung von Personendaten beim Einsatz von Kundenkarten 62 Brr…ryyr† 62 Fˆqrxh…‡rH8ˆ€ˆyˆ† 62 ! Wr…ssr‡yvpuˆt‰‚Qr…†‚rqh‡r%" 2.1. Publikation von Namen in Verbindung mit nachrichtenlosen Vermögenswerten bei Banken 63

" Hvyv‡…r†r%# 3.1. Die Revision der Militärgesetzgebung 64

6…puv‰r†r%$

4.1. Archivgesetz 65 $ 7rxh‡thir‰‚Qr…†‚rqh‡r%$ 5.1. Die Einwilligungsklausel für das Erscheinen von Inseraten in Online-Diensten* 65 5.2. Auslagerung von Zolldaten an private Firmen zur Bonitätsprüfung? 66 5.3. Bekanntgabe von Adressen des ZAR für eine Telefonumfrage im Rahmen eines Forschungsprojekts 67

% 9h‡r†puˆ‡“ˆq…rpu‡yvpurShu€rirqvtˆtr%' 6.1. Anpassung von Bundesgesetzen ans Datenschutzgesetz: Einige interessante Beispiele 68 6.2. Einbezug des EDSB in den Gesetzgebungsprozess 69 & 9h‡rBir…€v‡‡yˆtrv†6ˆ†yhq& 7.1. Gleichwertiger Datenschutz und die Bedeutung von vertraglichen Vereinbarungen bei Datenübermittlungen ins Ausland 70

' 9h‡r†puˆ‡“ˆq9h‡r†vpur…urv‡& 8.1. Die Verwendung von Verschlüsselungsverfahren (Kryptographie) 71 9vrF…’ƒ‡‚x‚‡…‚‰r…†r 71

5. Tätigkeitsbericht 1997/1998 des EDSB 7

• Originaltext auf Französisch 9vrTpuy+††rytrr…vr…ˆtˆqTvpur…urv‡irvqr…‰r…†puy+††ry‡rF‚€€ˆvxh‡v‚ 72 8.2. Das Bearbeitungsreglement des Systems PISEDI 73 8.3. Anforderungen an ein Bearbeitungsreglement 74 8.4. Protokollierung von Datenbearbeitungen 75 8.5. Outsourcing von EDV Dienstleistungen in der Bundesverwaltung 76 8.6. Verfahren zur Anonymisierung im Rahmen der medizinischen Statistik der Krankenhäuser 77

8.7. Erlaubte und unerlaubte Verwendung von ICD-10 Codes 79 ( 6ˆ†xˆs‡†…rpu‡' 9.1. Beschränkung des Auskunftsrechtes 81 9.2. Ausschluss des Auskunftsrechtes bezüglich vor Inkrafttreten des DSG ins Ausland geschickte Personendaten 81

9.3. Auskunftsrecht nach Aufnahmeprüfungen 82 Wr…†puvrqrr†'" 10.1. Vertrieb einer CD-ROM mit Fahrzeughalterdaten 83 10.2. Velo-Vignette und Datenschutz 84 10.3. Entsorgung von Personendaten auf Chips 84 DDD DIU@SI6UDPI6G@T'$ Sh‡vsv“vr…ˆtqr†5ir…rvx‚€€r†qr†@ˆ…‚ƒh…h‡r†Bir…qr9h‡r†puˆ‡“ '$ ! @ˆ…‚ƒh…h‡'$ " D‡r…h‡v‚hyrF‚sr…r“qr…9h‡r†puˆ‡“irhˆs‡…ht‡r'%

P@89'&

9vrSrtˆyvr…ˆt†‰r…†ˆpurqr…Wr…rqˆt‰‚Wr…†puy+††ryˆt†‰r…shu…r 87 9vr@‘ƒr…‡rt…ˆƒƒrDIU@SI@U 88 $ 7vyh‡r…hyr6ix‚€€r'' 6ix‚€€r€v‡A…hx…rvpuˆq9rˆ‡†puyhq+ir…qvrt…r“+ir…†pu…rv‡rqr ƒ‚yv“rvyvpuraˆ†h€€rh…irv‡ 88

% 6†’yˆqv‡r…h‡v‚hyrSrpu‡†uvysrv€Tƒhˆt†sryq( & D‡r…h‡v‚hyr6…irv‡†t…ˆƒƒrsB…9h‡r†puˆ‡“vqr…Uryrx‚€€ˆvxh‡v‚ ( DW 9@S@D9B@IETTDT8C@96U@IT8CVUa7@6VAUS6BU@ ( Wvr…‡r†purv“r…v†purF‚sr…r“qr…9h‡r†puˆ‡“irhˆs‡…ht‡r ((&( ! 9vrQˆiyvxh‡v‚rqr†@9T7Irˆr…†purvˆtr( " T‡h‡v†‡vxBir…qvrU‡vtxrv‡qr†@9T7(!

9h†Trx…r‡h…vh‡qr†@vqtr††v†pur9h‡r†puˆ‡“irhˆs‡…ht‡r('

W 6IC6IB(( @€ƒsruyˆtqr†@ˆ…‚ƒh…h‡†Bir…qrTpuˆ‡“‰‚Qr…†‚rqh‡rqvr “ˆ†‡h‡v†‡v†purarpxrr…u‚irˆqirh…irv‡r‡r…qr

! Svpu‡yvvrqr…D‡r…h‡v‚hyr6…irv‡†‚…thv†h‡v‚ " Sr†‚yˆ‡v‚qr…DWIh‡v‚hyrF‚sr…r“qr…9h‡r†puˆ‡“irhˆs‡…ht‡r ! D89 9vht‚†rp‚qr†hWr…†vpur…r…‰r…yr‡“rqh†Qh‡vr‡rtrurv€v† 102

@vvyyvtˆt†xyhˆ†rysB…qh†@…†purvr‰‚D†r…h‡rvPyvr9vr†‡r "

$ 7rxh‡thir‰‚6…irv‡†y‚†rqh‡rh7r‡…rviˆt†iru…qr)9h‡r†puˆ‡“ WQ7 ((&DDDT%%#ss #

% @HQA@CGVIB@I9@T@9T7 ( 6.1. Empfehlung in Sachen Personalinformationssystem PISEDI 109 6.2. Empfehlung in Sachen Abrufbarkeit von Arbeitslosendaten des AVAM-Systems des BIGA im Internet 112

5. Tätigkeitsbericht 1997/1998 des EDSB 8

WPSXPSU

9vrBrshu…r‰‚9h‡rr‡“r

Datennetze und insbesondere der globale «Information-Highway» sind vom Staat al- lein nicht mehr zu kontrollieren. Eingriffsmöglichkeiten des Staates sind in den welt- weiten, dezentral organisierten Netzen (Beispiel Internet) von beschränkter Wirkung. Es ist in der Tat schwierig festzustellen, wer an einem solchen Netz beteiligt ist, wel- che Daten zu welchem Zweck bearbeitet und wem die Daten bekanntgegeben wer- den. Unsere auf nationales Territorium beschränkten Gesetze sind somit wenig ge- eignet, der Herausforderung des «global village» entgegenzutreten. Insbesondere stellen die Gesetze kein taugliches Mittel dar, um die missbräuchliche Verbreitung von Daten wirksam bekämpfen zu können. Einmal mehr muss ich daran erinnern, dass sämtliche Aktivitäten, welche eine Datenbearbeitung - insbesondere in Datennetzen - erforderlich machen, Spuren hinterlassen. Diese Spuren können sich auch gegen «unschuldige» Personen richten und geben - ohne grossen Aufwand - deren Persön- lichkeitsprofile wieder. Durch den internationalen Datenverkehr wird das Persönlich- keitsrecht fundamental in Frage gestellt.

Der Persönlichkeitsschutz lässt sich nicht mehr allein durch nationale Erlasse sicher- stellen. Eine internationale Regelung ist notwendig. Im übrigen soll das Recht weiter- entwickelt und vor allem durch technische Bestimmungen «Datenschutzfreundliche Technologien» ergänzt werden. Es ist so schnell als möglich eine juristisch-technische Strategie zu entwickeln. In diesem Sinne sind technische Instrumente zu schaffen, welche die Benutzer vor den zunehmenden Kontroll- und Fernlenkungsmöglichkeiten schützen sollen. Ich bin daher überzeugt, dass in einer globalen Informationsgesell- schaft die Achtung der Privatsphäre nur durch das Recht auf Anonymität und Vertrau- lichkeit der Datenübertragung garantiert werden kann. Der Persönlichkeitsschutz ist wesentlicher Bestandteil eines demokratisch legitimierten Staates. Doch heute stelle ich eine z. T. übertriebene «Überwachungsmentalität» des Staates fest, deren Wirk- samkeit nicht bewiesen ist und das demokratische Gleichgewicht eines Tages in Fra- ge stellen könnte.

Der heutigen Technologie kommt auch die Aufgabe zu, uns vor widerrechtlicher Da- tenbearbeitung zu schützen. Sie soll die Voraussetzungen schaffen, über unsere Da- ten selbst bestimmen zu können (Recht auf informationelle Selbstbestimmung). Sol- che Technologien sind bereits heute verfügbar und erlauben uns insbesondere, unse- re Nachrichten zu chiffrieren. Der Staat darf die Entwicklung solcher Technologien nicht durch neue Regelungen behindern, sondern muss sie fördern. Die Benutzer des «global village» müssen Zugang zu technischen Instrumenten haben, welche ihnen Schutz vor unerlaubten und unverhältnismässigen Eingriffen in ihre Privatsphäre bie- ten. Dies ist unerlässlich, um überhaupt kommunizieren und von den Vorteilen der Informationsgesellschaft profitieren zu können. Was aber nicht heissen darf, dass die staatliche Aufsicht vor den Regeln des Marktes und des Wettbewerbs vollständig wei- chen muss. Der Staat hat die Rahmenbedingungen zu schaffen, damit die Bürger sich selber schützen und ihre Rechte geltend machen können.

5. Tätigkeitsbericht 1997/1998 des EDSB 9

Xvrtru‡r†rv‡r…€v‡qr€9h‡r†puˆ‡“4

In einer Informationsgesellschaft ist der Datenschutz ein unabdingbares Element für die Zukunft unserer demokratischen Gesellschaft. Einerseits garantiert er den Bürgern das Recht auf ihre Privatsphäre. Andererseits sorgt er dafür, dass der Staat seine ge- setzlichen Aufgaben wahrnimmt und nur die wirklich erforderlichen Personendaten bearbeitet. Durch den Datenschutz können schliesslich auch Datenprozesse im priva- ten Sektor effizienter gestaltet werden. Die Effektivität des Datenschutzes wird von einer verstärkten internationalen Zusammenarbeit und der Verabschiedung von all- gemeingültigen Vereinbarungen abhängen. Im übrigen sind technische Entwicklungen nötig, ohne dass in jedem Fall neue gesetzliche Grundlagen geschaffen werden müs- sen. Für die Durchführung von gesetzlichen Aufgaben, die wirtschaftliche Entwicklung, den Handel und auch die Forschung dürfen nur dann Personendaten bearbeitet wer- den, soweit dies erforderlich ist. So bin ich überzeugt, dass zahlreiche Aufgaben reali- siert werden können, ohne Personendaten bearbeiten zu müssen. In diesem Sinne hat sich der Datenschutz weiter zu entwickeln.

9vrVhiu6tvtxrv‡qr†9h‡r†puˆ‡“irhˆs‡…ht‡r

Ich kann meine Aufgaben als Eidgenössischer Datenschutzbeauftragter nur erfüllen, wenn die durch das Gesetz garantierte Unabhängigkeit respektiert wird. Dies erfordert hinreichende Mittel und einen Status, welcher den Kompetenzen und dem Umfang der Aufgabe gerecht wird. Tatsächlich ist es so, dass meine Aufsichtstätigkeit nicht in das traditionelle Schema einer hierarchisch gegliederten Verwaltung passt. Obwohl meine Funktion sicherlich respektiert wird, stosse ich wiederum auf Unkenntnis, Un- verständnis, ja sogar auf Verdächtigungen. In der Verwaltung ist die Tendenz festzu- stellen, dass der Datenschutz zugunsten der Rationalisierung und wirtschaftlicher Ü- berlegungen vernachlässigt wird. Diejenigen, welche Daten bearbeiten, dürfen jedoch nicht vergessen, dass sie zugleich auch Subjekte der Datenbearbeitung sind und von denselben Rechten profitieren, welche sie anderen nicht zugestehen möchten.

Es gehört nicht zu meiner Aufgabe, die Entwicklung der Informationsgesellschaft zu behindern oder aufzuhalten, solange die Datenbearbeitungen gerechtfertigt und not- wendig sind. Indessen muss ich die verschiedenartigen Interessen berücksichtigen, welche uns als Individuum oder als Mitglied einer demokratischen Gesellschaft betref- fen. Im Hinblick auf die aktuelle technologische Evolution und die Entwicklung des «global village» ist es für den Betroffenen schwierig, die Bedrohung seiner Freiheits- rechte zu erkennen. Zu oft ist sich der Bürger über die Eingriffe in sein Privatleben bzw. in seine Grundrechte nicht bewusst. Wenn überhaupt, bemerkt er dies erst zu einem späteren Zeitpunkt. Folglich kann er seine Rechte nicht immer selber geltend machen und sich auch nicht dagegen wehren, wenn Personendaten unrechtmässig bearbeitet werden. Mit anderen Worten: Ohne Datenschutz ist Demokratie undenkbar, und die Freiheitsrechte werden schliesslich in Frage gestellt. Die Unabhängigkeit des Eidgenössischen Datenschutzbeauftragten ist daher - im Interesse jedes Einzelnen - sicherzustellen, damit die Datenbearbeitungen sowohl im privaten Bereich wie in der Bundesverwaltung weiterhin kontrolliert werden können.

O. Guntern

5. Tätigkeitsbericht 1997/1998 des EDSB 10

67F5SaVIBTW@Sa@D8CIDT

ADMAS Register der Administrativmassnahmen AGB Allgemeine Geschäftsbedingungen AHVG Bundesgesetz über die Alters- und Hinterlasseneneversicherung ANAG Bundesgesetz über Aufenthalt und Niederlassung der Ausländer AUPER Automatisiertes Personenregister AVIG Arbeitslosenversicherungsgesetz AVIV Arbeitslosenversicherungsverordnung BAP Bundesamt für Polizeiwesen BFA Bundesamt für Ausländerfragen BStatG Bundesstatistikgesetz BSV Bundesamt für Sozialversicherung BtG Beamtengesetz BWA Bundesamt für Wirtschaft und Industrie CJ-PD Projektgruppe für den Datenschutz im Europarat DNS (DNA) Desoxyribonukleinsäure DOSIS Datenverarbeitungssystem zur Bekämpfung des illegalen Drogen- handels DOSIS-VO Verordnung über das Datenverarbeitungssystem zur Bekämpfung des illegalen Drogenhandels DSG Bundesgesetz über den Datenschutz EAV Elektronische Aktenverwaltung EDA Eidgenössisches Departement für auswärtige Angelegenheiten EDSK Eidgenössische Datenschutzkommission EZV Eidgenössische Zollverwaltung GEWA Datenverarbeitungssystem zur Bekämpfung der Geldwäscherei GIG Bundesgesetz über die Gleichstellung von Frau und Mann GIS Geografische Informationssysteme GWG Bundesgesetz zur Bekämpfung der Geldwäscherei im Finanzsektor InfV Verordnung über die Informations- und Auszahlungssysteme der Ar- beitslosenversicherung IPAS Informatisiertes Personen- und Aktennachweissystem ISDN Dienstintegrierendes digitales Netz ISIS Staatsschutz-Informationssystem ISOK Datenverarbeitungssystem zur Bekämpfung der organisierten Krimi- nalität ISOK-VO Verordnung über das Datenverarbeitungssystem zur Bekämpfung der organisierten Kriminalität KLV Krankenpflege-Leistungsverordnung KVG Bundesgesetz über die Krankenversicherung KVV Verordnung über die Krankenversicherung MfG Meldestelle für Geldwäscherei MO Bundesgesetz über die Militärorganisation MOFIS Motorfahrzeug- Informationssystem OECD Organisation für wirtschaftliche Zusammenarbeit und Entwicklung PDV Personen-, Dossierverwaltung RIPOL Automatisiertes Fahndungssystem SBVg Schweizerische Bankiervereinigung SchKG Bundesgesetz über Schuldbetreibund und Konkurs StGB Strafgesetzbuch

5. Tätigkeitsbericht 1997/1998 des EDSB 11

UVEK Eidgenössisches Depar tement für Umwelt, Verkehr, Energie und Kommunikation V-AVAM Verordnung über das Informationssystem für die Arbeitsvermittlung VND Verordnung über den Nachrichtendienst VOSTRA Automatisiertes Strafregister VPB Verwaltungspraxis der Bundesbehörden VZG Bundesgesetz über die Volkszählung ZAN Zentraler Aktennachweis ZAR Zentrales Ausländerregister Zent VO Verordnung über die kriminalpolizeilichen Zentralstellen des Bundes ZS BM Zentralstelle Betäubungsmittel ZS OK Zentralstelle zur Bekämpfung des organisierten Verbrechens ZSD Zentralstellendienste ZSG Bundesgesetz über die kriminalpolizeilichen Zentralstellen des Bun- des

5. Tätigkeitsbericht 1997/1998 des EDSB 12

D 6VTB@X˜CGU@UC@H@I

Q‚yv“rvr†r

1.1 Schaffung gesetzlicher Grundlagen für Personenregister durch das Bundesamt für Polizeiwesen

6€" Eˆv (('yˆs‡qvr‰‚€9TB‰‚…tr†rurr5ir…tht†s…v†‡sB…7ˆqr†‚…thrhi vu…r7rh…irv‡ˆtr‰‚ir†‚qr…††puB‡“r†r…‡rQr…†‚rqh‡rˆqQr…†yvpu xrv‡†ƒ…‚svyrhˆsrvruv…rvpurqrtr†r‡“yvpurB…ˆqyhtr“ˆ†‡ryyr6ˆst…ˆqqr… ƒy‡“yvpur…xh‡r9…vtyvpuxrv‡uh‡qh†7ˆqr†h€‡sB…Q‚yv“rvr†r76QsB…€ru…r …rQr…†‚r…rtv†‡r…@qr ((&qr€Qh…yh€r‡rvBr†r‡“triˆt†ƒhxr‡“ˆ…7rˆ…‡rv yˆt‰‚…tryrt‡9rT‡qr…h‡uh‡ir…rv‡†‰‚…tr†puyhtrqvr5ir…tht†s…v†‡iv†h€ " !!“ˆ‰r…ytr…

Für die Zeit von fünf Jahren nach Inkrafttreten sah das DSG eine Übergangsfrist für die Bundesorgane vor, für bestehende Bearbeitungen von besonders schützenswer- ten Personendaten und Persönlichkeitsprofilen hinreichende Rechtsgrundlagen zu schaffen. Aufgrund der plötzlich erkannten Dringlichkeit hat das Bundesamt für Poli- zeiwesen (BAP) ein in Anlehnung an den Schnellzug TGV genanntes TGV-Paket ge- schnürt, um termingerecht seine Datenbearbeitungen durch hinreichende Rechts- grundlagen zu legalisieren. Dieses Paket besteht aus Rechtsgrundlagen für IPAS (In- formatisiertes Personen- und Aktennachweissystem), für VOSTRA (Automatisiertes Strafregister), ADMAS (Administrativmassnahmen) und MOFIS (Informationssystem für Motorfahrzeuge). Im September 1997 wurden vom Bundesrat der Entwurf und die dazugehörige Botschaft publiziert und dem Parlament vorgelegt. Das Parlament sah sich nicht in der Lage, die sehr komplexe Materie innerhalb der sehr kurzen, bis zum

1. Juli 1998 verbleibenden Zeit zu beurteilen. Aus diesem Grund hat die Rechtskom- mission des Ständerates mit einer parlamentarischen Initiative angestrebt, die Über- gangsfrist von fünf Jahren bis Ende 2000 per Bundesbeschluss zu verlängern.

DQ6T

Beim IPAS handelt es sich um eine sehr komplexe Datenbank. IPAS soll als in- formatisiertes Personennachweis-, Aktennachweis- und Verwaltungssystem dienen:

• Durch IPAS sollen AUPER-BAP (Automatisiertes Personenregister) und ZAN (Zentraler Aktennachweis) abgelöst werden.
• IPAS wird einen für alle Mitarbeiter des BAP zugänglichen Personenstamm be- treffend Personen enthalten, über die im BAP Vorgänge geführt werden, zum Teil mit Hinweisen auf Informationssysteme, in denen die Personen geführt werden.
• IPAS wird einen Aktennachweis enthalten.
• IPAS soll für gewisse Bereiche des BAP wie Erkennungsdienst, Auslieferung, Internationale Rechtshilfe, Interpol und Verwaltungspolizei neben dem Perso- nen- und Aktennachweis als Dossier- bzw. Aktenverwaltung dienen. Im Rah- men der Akten- bzw. Dossierverwaltung wird es möglich sein, Dokumente in Papierform oder elektronisch in das IPAS aufzunehmen.
• Für die oben aufgeführten Bereiche werden darüber hinaus Falldaten in IPAS aufgenommen werden.

5. Tätigkeitsbericht 1997/1998 des EDSB 13

Aufgrund dieser recht umfangreichen Funktionalitäten werden sich in IPAS besonders schützenswerte Personendaten befinden. Online-Zugriffe auf IPAS sind vorgesehen für die Bundesanwaltschaft zur Durchführung gerichtspolizeilicher Ermittlungen sowie für die Bundesbehörde, die nach dem Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit vom 21. März 1997 Personensicherheitsprüfungen durchführt. Ebenfalls einen Online-Zugriff auf IPAS soll diejenige Bundesbehörde haben, die nach demselben Gesetz die zuständigen Polizei- und Strafverfolgungsbehörden unterstützt, indem diese ihnen Erkenntnisse über das organisierte Verbrechen mitteilt, namentlich wenn solche bei der Zusammenarbeit mit ausländischen Sicherheitsbehörden anfal- len. Während wir uns mit Online-Zugriffen der ersten beiden Behörden einverstanden er- klären konnten, sind wir der Ansicht, dass ein Online-Zugriff der letztgenannten Be- hörde weder verhältnismässig, noch zur Erfüllung der genannten Aufgabe erforderlich ist. Bis heute wurde von der betreffenden Behörde das Erfordernis uns gegenüber auch nicht plausibilisiert. Hinsichtlich des vorgesehenen Hinweises auf Informationssysteme, in denen Per- sonendaten über die registrierte Person bearbeitet werden, haben wir darauf hinge- wiesen, dass ein Hinweis auf Informationssysteme der Zentralstellendienste im BAP gegen das Trennungsgebot, das im Bundesgesetz über die kriminalpolizeilichen Zent- ralstellen des Bundes vom 7. Oktober 1994 verstossen würde. Dieses Trennungsge- bot statuiert, dass die Informationssysteme der kriminalpolizeilichen Zentralstellen von anderen Informationssystemen der Polizei und der Verwaltung getrennt geführt wer- den müssen. Das bedeutet, dass keine Hinweise auf Inhalte der Informationssysteme der kriminalpolizeilichen Zentralstellen in ein anderes Informationssystem der Polizei und der Verwaltung aufgenommen werden dürfen. Mit dem Hinweis auf Informations- systeme der kriminalpolizeilichen Zentralstellen würde das im Bundesgesetz über die kriminalpolizeilichen Zentralstellen des Bundes vom 7. Oktober 1994 vorgesehene indirekte Auskunftsrecht (vgl. dazu 4. Tätigkeitsbericht S. 11) zur Anwendung gelan- gen. Mit der Streichung der Informationssysteme aus der Vorlage besteht unseres Erachtens keine hinreichende juristische Begründung mehr, an einer Anwendbarkeit des indirekten Auskunftsrechtes festzuhalten. Die Bezeichnung der Dienststellen als solche ist unseres Erachtens keine Datenbearbeitung im Sinne des Bundesgesetzes über die kriminalpolizeilichen Zentralstellen des Bundes vom 7. Oktober 1994, wes- halb diesbezüglich eine Anwendbarkeit des indirekten Auskunftsrechtes nicht vertret- bar ist. Ebenso haben wir darauf hingewiesen, dass auch keine Dokumente der Zentral- stellen, sei es in Papierform oder in elektronischer Form, aus Gründen des oben dar- gelegten Trennungsgebotes in IPAS aufgenommen werden dürfen.

9h‡r†h€€yˆtrqr†T‡…h††r‰r…xru…†tr†r‡“r†TWB

†vrurqh“ˆU6‡vtxrv‡†ir…vpu‡ (($(%T $ ! Die gesetzlichen Grundlagen für das Fahrberechtigungsregister FABER werden nach Angaben des Bundesamtes für Polizeiwesen nicht im Rahmen der „TGV-Paket- Revision“, sondern im ordentlichen Revisionsverfahren des SVG geschaffen. Die Ver- ankerung des FABER auf Stufe formelles Gesetz ist nötig, da sensible Informationen wie Nationalität und noch nicht rechtskräftige polizeiliche Administrativmassnahmen bearbeitet werden. Wir haben anlässlich der Ämterkonsultation zur Revision des SVG verlangt, dass auf die Publikation der Fahrzeughalterregister verzichtet werde. Diese Streichung rechtfer-

5. Tätigkeitsbericht 1997/1998 des EDSB 14

tigt sich um so mehr, als die auf die Motorfahrzeug- und Halterdaten angewiesenen Behörden gemäss SVG-Revision neu einen On-line-Zugriff auf diese Daten erhalten sollen.

6ˆ‡‚€h‡v†vr…‡r†T‡…hs…rtv†‡r…WPTUS6

Der Entwurf zur Revision des StGB sah vor, der Bundespolizei einen uneinge- schränkten Zugriff auf die VOSTRA-Daten zu gewähren (siehe Tätigkeitsbericht 1996/97, S. 11). Wir haben anlässlich der Ämterkonsultation verlangt, dass der On- line-Zugriff der Bundespolizei auf VOSTRA auf diejenigen Fälle zu beschränken ist, in denen sie als Gerichtspolizei wirkt. Nach nochmaliger Durchsicht des Gesetzesent- wurfes haben wir erkannt, dass ein Polizeizugriff auf VOSTRA, auch im von uns vor- geschlagenen, beschränkten Umfang, systemwidrig ist und deshalb ersatzlos zu strei- chen ist. Des weiteren schlugen wir vor, den Zugriff der zuständigen Bundesbehörden auf VOSTRA-Daten zur Durchführung von Personensicherheitsüberprüfungen im Sin- ne des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit nur in einem beschränkteren Umfang zuzulassen. Im übrigen ist die vorgesehene Befugnis des Bundesrates, die Einsichtsrechte auf weitere Behörden auszudehnen, wenn die Anzahl der Auskunftsersuchen es rechtfertigt, zu streichen. Das DSG verlangt aus- drücklich, dass das Zugänglichmachen von besonders schützenswerten Personenda- ten durch Abrufverfahren in einem formellen Gesetz vorgesehen werden muss.

1.2. Zentralstellen-Verordnung

arv‡tyrvpu€v‡qr…6ˆ†h…irv‡ˆtqr…DTPFWr…‚…qˆtˆ…qrqvr6ˆ†h…irv‡ˆtqr…6ˆ† sBu…ˆt†‰r…‚…qˆt“ˆ€ar‡…hy†‡ryyrtr†r‡“Bir…qvrx…v€vhyƒ‚yv“rvyvpurar‡…hy †‡ryyrqr†7ˆqr†hqvrChqtr‚€€r

Am 15. März 1995 trat das Bundesgesetz über die kriminalpolizeilichen Zentralstellen des Bundes vom 7. Oktober 1994 in Kraft. Es brauchte fast drei Jahre, bis eine Aus- führungsverordnung zu diesem Gesetz in Kraft gesetzt wurde. Diese Ausführungsver- ordnung regelt jedoch nicht sämtliche kriminalpolizeilichen Zentralstellen des Bundes, sondern nur die des Bundesamtes für Polizeiwesen. Die Ausarbeitung der Verordnung wurde zeitgleich mit der Ausarbeitung der ISOK-Verordnung an die Hand genommen. Auch zu dieser Ausarbeitung wurden wir frühzeitig beigezogen. Unsere Anliegen wur- den zum Teil übernommen. Hinsichtlich verbleibender Differenzen konnten letztlich einvernehmliche Lösungen gefunden werden. Ursprünglich hatten wir uns gegen die Eingliederung des Zentralbüros INTERPOL in die Zentralstellendienste gewehrt. Zum einen erfüllt das Zentralbüro die Funktion ei- nes neutralen Dienstleistungsbetriebes, weil seine Aufgabe darin liegt, für die Entge- gennahme und Verteilung von Anfragen auf nationaler und internationaler Ebene im Zusammenhang mit der Verhütung und Verfolgung von Straftaten zu sorgen. Die An- fragen betreffen somit nicht nur die Deliktsbereiche der Zentralstellendienste. Zum anderen würden die Zentralstellendienste von Anfragen Kenntnis erhalten, die nicht in ihren Zuständigkeitsbereich fallen. Nach dem Bundesgesetz über die kriminalpolizeili- chen Zentralstellen des Bundes vom 7. Oktober 1994 dürfen die Zentralstellen jedoch nur Informationen beschaffen, die für die Aufgabenerfüllung nach diesem Gesetz not- wendig wären. Seitens des Bundesamtes für Polizeiwesen wurde schriftlich zugesi- chert, dass die organisatorische Integrität des Zentralbüros INTERPOL gewährleistet

5. Tätigkeitsbericht 1997/1998 des EDSB 15

werde und die Mitarbeiter der Zentralstellendienste keine Kenntnis von Informationen erlangen werden, die sie nicht für ihre Aufgabenerfüllung unbedingt benötigen. Weiter wurde hinsichtlich der Analysetätigkeit, bezüglich derer noch keine Erfah- rungswerte vorliegen, eine Rechenschaftspflicht der Zentralstellen in Form eines Be- richtes vorgesehen. Der Bericht soll Auskunft über die Art und den Umfang der zur Kriminalanalyse benötigten Daten geben und Vorschläge über die Festlegung von Datenkategorien enthalten.

1.3. Meldestelle Geldwäscherei

aˆ…7rx€ƒsˆtqr…Bryq†pur…rvˆ…qrˆ‡r…hqr…r€v€7ˆqr†tr†r‡““ˆ…7r x€ƒsˆtqr…Bryq†pur…rvBXBrvrHryqr†‡ryyrsB…Bryq†pur…rv‰‚…tr†rur Hv‡Dx…hs‡‡…r‡rqr†BXB†‚yyqvrHryqr†‡ryyrh€ 6ƒ…vy (('vu…rU‡vtxrv‡hˆsru €r

Im Bundesgesetz zur Bekämpfung der Geldwäscherei (GWG) ist eine Meldestelle für Geldwäscherei vorgesehen. Diese wird von der Zentralstelle zur Bekämpfung des or- ganisierten Verbrechens des Bundesamtes für Polizeiwesen geführt. Da das GWG voraussichtlich am 1. April 1998 in Kraft tritt, muss auch die Meldestelle für Geldwä- scherei am 1. April 1998 operativ sein. Zu ihren Aufgaben gehört es unter anderem, die von Finanzintermediären eingegangenen Meldungen in bezug auf den Verdacht der Geldwäscherei entgegenzunehmen, auszuwerten, diesbezüglich Abklärungen durchzuführen sowie nötigenfalls die zuständigen Strafverfolgungsbehörden zu infor- mieren. Für diese Aufgabenerfüllung stehen der Meldestelle höchstens 4 Tage, je- doch mindestens 2 Tage zur Verfügung. Um ihren Gesetzesauftrag erfüllen zu kön- nen, bedarf die Meldestelle zahlreicher Informationen aus verschiedenen polizeilichen Datenbanken. Bei diesen Informationen handelt es sich um besonders schützenswer- te Personendaten im Sinne des DSG. Der zeitliche Druck, die personelle Dotierung der Meldestelle sowie die Regelmässigkeit der Bekanntgabe der Personendaten an die Meldestelle scheinen die Bekanntgabe im Rahmen von Telekommunikationsver- fahren oder gar mittels Abrufverfahren (on-line-Verfahren) erforderlich zu machen. Für derartige Datenbekanntgaben bedarf es nach dem DSG Rechtsgrundlagen in einem formellen Gesetz. Wir vertreten die Ansicht, dass mit dem GWG nicht die hinreichen- den formellgesetzlichen Rechtsgrundlagen für derartige Datenbekanntgaben bzw. - beschaffungen geschaffen wurden. Dementsprechend sind wir in einem dringlichen Bericht an den Bundesrat unter Darlegung unserer Ansicht mit dem Antrag herange- treten, das Inkrafttreten des GWG hinauszuschieben, bis die erforderlichen Rechts- grundlagen geschaffen sind. Dies soll verhindern, dass die Meldestelle aufgrund der gesetzgeberischen Unterlassung zu illegalen Datenbearbeitungen gezwungen wird. Aufgrund des politischen Drucks von internationaler Seite sah sich der Bundesrat nicht in der Lage, das Inkrafttreten des GWG aufzuschieben. Wir haben uns daraufhin mit der Durchführung eines Pilotversuches von fünf Jahren unter der Voraussetzung einverstanden erklärt, dass in einer bundesrätlichen Verordnung folgende Punkte ge- regelt werden:

1. Nennung der Datenbanken, aus denen besonders schützenswerte Personen- daten an die Meldestelle im Abrufverfahren oder auf andere Weise regelmässig bekanntgegeben werden, wobei es sich um eine restriktive Aufzählung handeln sollte;

2. Begrenzung der bekanntzugebenden Daten auf das Notwendigste;

3. Auflistung eines detaillierten Datenkataloges;

4. Tätigkeitsbericht 1997/1998 des EDSB 16

5. Auflistung allfälliger Zugriffsberechtigungen;

6. zeitliche Begrenzung der Gültigkeitsdauer der für den Pilotversuch geltenden Verordnung ohne Verlängerungsmöglichkeit;

7. Rechenschaftspflicht der Meldestelle für Geldwäscherei nach 2-3 Jahren in Form eines schriftlichen Berichtes zuhanden des Eidgenössischen Daten- schutzbeauftragten, die Auskunft gibt über die gemachten Erfahrungen in be- zug auf;

• das Erfordernis von regelmässigen Bekanntgaben von besonders schüt- zenswerten Personendaten an die Meldestelle im Abrufverfahren oder auf andere Weise aus Datenbanken;
• den Umfang der bekanntzugebenden Daten;
• die Datenbanken, aus denen die Meldestelle Personendaten für ihre Auf- gabenerfüllung benötigt;

7. Pflicht zur Schaffung der entsprechenden Rechtsgrundlagen aufgrund des Re- chenschaftsberichtes.

Parallel dazu lief die Ämterkonsultation des Bundesamtes für Polizeiwesen für eine bundesrätliche Verordnung über einen entsprechenden Pilotversuch, zu der wir eben- falls begrüsst wurden. Die Gesetzgebung zum GWG ist ein Beispiel dafür, dass immer öfter bei Gesetzge- bungsarbeiten entweder Datenschutzanliegen nicht berücksichtigt werden oder auf- grund fehlender praktischer Erfahrungen nicht berücksichtigt werden können. In kom- plexen und wichtigen Bereichen, insbesondere im Zusammenhang mit der Bearbei- tung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen, muss daher vermehrt zu zeitlich begrenzten Pilotversuchen gegriffen werden, um be- urteilen zu können, welche besonders schützenswerten Personendaten in welchem Umfang von wem wie lange zu bearbeiten sind. Zudem können Pilotversuche verhin- dern, dass Rechtsgrundlagen in formellem Gesetz auf Vorrat geschaffen werden. Da das DSG jedoch vorschreibt, dass die nötigen und hinreichenden Rechtsgrundlagen vor Aufnahme der Datenbearbeitungen vorhanden sein müssen, Rechtsgrundlagen für Pilotversuche jedoch nur auf Verordnungsebene für einen bestimmten Zeitraum erlassen werden dürfen, stellt sich die Frage, ob es nicht sinnvoll wäre, dem Eidge- nössischen Datenschutzbeauftragten die Kompetenz einzuräumen, Pilotversuche zu genehmigen.

1.4. Auskunftsrecht nach dem Bundesgesetz über kriminalpolizeiliche Kriminalstel- len des Bundes

Xu…rqqr†yr‡“‡rU‡vtxrv‡†whu…r†qr†@vqtr††v†pur9h‡r†puˆ‡“irhˆs‡…ht‡r ˆ…qrq…rv6ˆ†xˆs‡†irtru…rv€7r…rvpuqr…x…v€vhyƒ‚yv“rvyvpurar‡…hy†‡ryyrqr† 7ˆqr†tr†‡ryy‡

Während des letzten Tätigkeitsjahres gelangten drei Anwälte für Ihre Klienten an uns und machten das Auskunftsrecht nach dem Bundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes vom 7. Oktober 1994 geltend. Nach diesem Gesetz kann jede Person vom Eidgenössischen Datenschutzbeauf- tragten verlangen, dass er prüft, ob bei einer Zentralstelle rechtmässig Daten über sie bearbeitet werden. Der Eidgenössische Datenschutzbeauftragte teilt der gesuchstel- lenden Person in einer stets gleichlautenden Antwort, dass entweder keine Daten un- rechtmässig bearbeitet würden oder dass er - bei Vorhandensein allfälliger Fehler in

5. Tätigkeitsbericht 1997/1998 des EDSB 17

der Datenbearbeitung - eine Empfehlung zu deren Behebung an die Zentralstelle ge- richtet habe. Mit Antwortschreiben des Eidgenössischen Datenschutzbeauftragten erfährt die gesuchstellende Person nicht, ob eine Zentralstelle Daten über sie bearbei- tet. In einem der Fälle waren wir zur Ansicht gekommen, dass sich das Auskunftsrecht nicht nach dem ZSG, sondern nach dem DSG richtet, wir deshalb für die Auskunfter- teilung nicht zuständig seien. Daraufhin gelangte die auskunftssuchende Person an den Inhaber der Datensammlung, der das Auskunftsrecht nach DSG verweigerte. Der Auskunftssuchende rekurrierte gegen diesen Entscheid beim Beschwerdedienst des Eidgenössischen Justiz- und Polizeidepartementes, wo die Angelegenheit u.a. wegen der Frage der Zuständigkeit für die Auskunfterteilung zur Zeit noch hängig ist.

1.5. Datenverarbeitungssystem zur Bekämpfung des organisierten Verbrechens ISOK

9h†7ˆqr†tr†r‡“Bir…qvrx…v€vhyƒ‚yv“rvyvpurar‡…hy†‡ryyrqr†7ˆqr††vru‡‰‚… qh††wrqrx…v€vhyƒ‚yv“rvyvpurar‡…hy†‡ryyrqr†7ˆqr†rv9h‡r‰r…h…irv‡ˆt††’†‡r€ sBu…rqh…sTrv‡qr€ Ehˆh… (('‰r…sBt‡qvrar‡…hy†‡ryyrBir…qh†9h‡r‰r…h…irv ‡ˆt††’†‡r€“ˆ…7rx€ƒsˆtqr†‚…thv†vr…‡rWr…i…rpur†DTPF

Das Bundesgesetz über die kriminalpolizeilichen Zentralstellen des Bundes vom 7. Oktober 1994 (ZSG) sieht vor, dass jede Zentralstelle im Sinne des ZSG zur Erfüllung ihrer Aufgaben ein Datenverarbeitungssystem betreibt. Entsprechend verfügt die Zent- ralstelle zur Bekämpfung des organisierten Verbrechens (ZS OK) seit dem 1. Januar 1998 - fast drei Jahre nach Inkrafttreten des ZSG - über das Datenverarbeitungssys- tem zur Bekämpfung des organisierten Verbrechens ISOK. Bei ISOK handelt es sich um eine Schwesterdatenbank zum Datenverarbeitungssystem zur Bekämpfung des illegalen Drogenhandels. Der Realisierung von ISOK vorausgegangen ist die Ausarbeitung der bundesrätlichen Verordnung über das Datenverarbeitungssystem zur Bekämpfung des organisierten Verbrechens vom 19. November 1997. Für diese Ausarbeitung wurden wir frühzeitig konsultiert. Bis auf unsere Ansicht, dass die im System als gerichtspolizeiliche Da- ten/nichtgerichtspolizeiliche Daten gekennzeichneten Personendaten durch unter- schiedliche Zugriffsberechtigungen logisch zu trennen seien (vgl. zu dieser Problema- tik 4. Tätigkeitsbericht S. 10), wurden sämtliche von uns vorgebrachten Anliegen in die Verordnung aufgenommen.

1.6. Expertenkommission für eine gesamtschweizerische DNA-Profil-Datenbank im Polizeibereich

7rvT‡…hs‡h‡rxrqˆ…pu6hy’†rˆqWr…tyrvpur‰‚h€Uh‡‚…‡uv‡r…yh††rr Tƒr…€vrChˆ‡‚qr…Chh…†ƒˆ…rˆq‰‚irvWr…qpu‡vtrhitr‚€€rr…7yˆ‡ˆq Tƒrvpuryƒ…‚ir“ˆrvr…Dqr‡vsv“vr…ˆtqr…U‡r…†puhs‡sBu…r9hv€€r…uˆsvtr…‰‚ qrFh‡‚rqr…h…‡vtrWr…tyrvpu†€r‡u‚qrrvtr†r‡“‡r…qruh‡†vpuqvrA…htr hpurvr…tr†h€‡†purv“r…v†pur9I6Q…‚svy9h‡rihxtr†‡ryy‡

Anhand einer Analyse von am Tatort einer Straftat aufgefundenen Haar-, Haut- oder Spermienspuren lässt sich eine eindeutige Identifikation der Täterschaft vornehmen, wenn die Analyse mit Blut- oder Speichelproben verdächtigter Personen verglichen werden und die Täterschaft sich unter diesen befindet. Da aufgrund derartiger DNA-

5. Tätigkeitsbericht 1997/1998 des EDSB 18

Analysen mit an hunderprozentiger Sicherheit grenzender Wahrscheinlichkeit eine konkrete Täterschaft identifiziert bzw. zu unrecht Verdächtigte entlastet werden kön- nen, erfreut sich die DNA-Analyse im Polizeibereich zunehmender Beliebtheit. Im Zu- sammenhang mit der Beschaffung der Speichel- und Blutproben von Verdächtigten, deren Analyse, Aufbewahrung, Verknüpfung der Ergebnisse mit Personendaten, Lö- schung, Weitergabe, Aspekten der Effizienz der Polizearbeit und Verbrechensbe- kämpfung usw. stellen sich grosse Probleme. Unter anderem stellt sich die Frage nach der Schaffung einer gesamtschweizerischen DNA-Profil-Datenbank. Am 25. No- vember 1997 wurde vom Eidgenössischen Justiz- und Polizeidepartement eine Exper- tenkommission eingesetzt, die prüfen soll, ob eine gesamtschweizerische DNA-Profil- Datenbank eingerichtet werden soll, ob deren Einrichtung verantwortbar und zweck- mässig ist, wie eine derartige Datenbank zu organisieren und rechtlich zu legitimieren ist. Diese Expertenkommission, deren Mitglied auch der Eidgenössische Daten- schutzbeauftragte ist, hatte ihre konstituierende Sitzung im Januar 1998.

1.7. Verordnung über den Dienst für die Überwachung des Post- und Fernmelde- verkehrs

D€Shu€rqr…Gvir…hyv†vr…ˆtqr†Uryrx‚€€ˆvxh‡v‚†€h…x‡r†h…r†r…s‚…qr…yvpu htr‚…qr‡rUryrs‚Bir…hpuˆtrvpu‡€ru…‰‚qrQUUqˆ…pusBu…r“ˆyh††r aˆqvr†r€arpxˆ…qrƒr…Wr…‚…qˆtrv9vr†‡rvtr…vpu‡r‡qr…hi Ehˆh… ((' vaˆ†h€€rh…irv‡€v‡qrrv“ryr6ivr‡r…Uryrs‚Bir…hpuˆtrqˆ…pusBu…‡

Bis Ende 1997 wurden zur Verfolgung und Verhinderung von Straftaten angeordnete Telefonüberwachungen von den PTT durchgeführt. Per 1. Januar 1998 ist der Tele- kommunikationsmarkt liberalisiert. Das bedeutet, dass es auf dem Markt verschiedene Telekommunikationsanbieter geben wird, die zu der früheren PTT in Konkurrenz tre- ten. Es wäre stossend, wenn angeordnete Telefonüberwachungen weiterhin durch die PTT - und damit auch bei deren Konkurrenten - durchgeführt würden. Aus diesem Grunde wurde mit bundesrätlicher Verordnung über den Dienst für die Überwachung des Post- und Fernmeldeverkehrs vom 1. Dezember 1997 ein Dienst eingerichtet, der dem Eidgenössischen Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK) administrativ zugeordnet ist. Dieser Dienst führt in Zusammenarbeit mit den einzelnen Anbietern die Telefonüberwachungen durch. Wir hatten die Gelegenheit, schriftlich zu dem Verordnungsentwurf Stellung zu neh- men.

! 6ˆ†yqr…ˆq6†’y…rpu‡

2.1. Beanstandung von Polizeizugriffen auf die Asylbewerber- und Ausländerdaten- sammlungen des EJPD - ungleich lange Spiesse in einem heiklen Bereich

Ihpuqr€@‡†purvqqr†7ˆqr†tr…vpu‡††‡ru‡sr†‡qh††qr…9h‡r†puˆ‡“irhˆs‡…ht‡r “ˆ€Mahˆth†‡Nv…qrrv9rƒh…‡r€r‡†rvr9h‡r†puˆ‡“@€ƒsruyˆthitryru‡ uh‡9h†v†‡tr…hqrvqrv…xyvpux…v‡v†pur‚s‡u‚pux‚€ƒyr‘r9h‡r†puˆ‡“syyr ˆirs…vrqvtrq9r…7B…tr…v†‡uvr…Bir…s‚…qr…‡ˆqqr…9h‡r†puˆ‡“q…‚u‡v†hyyrvvtr 7ryvrirqr…Q‚yv“rv7ru…qrtr†‡ryy‡“ˆr…qr@vrutvtrH‚‡v‚ivr‡r‡ˆ €ru…Bryrtrurv‡qh†9TBvqvr†r…A…htr“ˆx‚……vtvr…r

5. Tätigkeitsbericht 1997/1998 des EDSB 19

Auf unsere Beschwerde hin hob die Eidg. Datenschutzkommission (EDSK) zwei Ent- scheide des EJPD auf (vgl. TB 1996/97 S. 13). Diese gestatteten dem Bundesamt für Polizeiwesen umfassende Online-Zugriffe auf die Asylbewerber- und Ausländerdaten- sammlungen des Bundes. Wir waren der Auffassung, nur ganz wenige solcher Zugrif- fe seien zulässig, und zwar erst, nachdem die gesetzlichen Grundlagen hiefür ge- schaffen und alle wichtigen Sicherheitsfragen gelöst worden seien. Die EDSK bekräf- tigte im wesentlichen unsere Auffassung. Anstatt die ihm von der EDSK aufgetragene Erforderlichkeits- und Sicherheitsanalyse endlich fertigzustellen, hat das EJPD den Entscheid der EDSK ans Bundesgericht weitergezogen. Das EJPD berief sich auf die Materialien zum Datenschutzgesetz und wies nach, dass das Parlament entgegen dem Antrag des Bundesrats dem EDSB keine Behördenbeschwerde gegen Departe- mentsentscheide zugestehen wollte. Das Bundesgericht setzte sich in seinem Ent- scheid eingehend mit dieser Frage auseinander. Dabei prüfte es auch sehr sorgfältig die Begründung, mit welcher die EDSK im konkreten Fall ihre Zuständigkeit bejaht hatte. Die EDSK hatte nämlich argumentiert, dass der EDSB mindestens dort be- schwerdebefugt sein müsse, wo er in der Ausübung seiner gesetzlichen Aufgaben erheblich beeinträchtigt werde. Sie hatte diese Voraussetzung als erfüllt betrachtet. Das Bundesgericht kam indessen zum Schluss, dass der Gesetzgeber keine solche Differenzierung vorgenommen habe. Es prüfte daher auch nicht, ob und allenfalls wie sehr der EDSB im konkreten Fall in seiner Aufgabenerfüllung beeinträchtigt worden war. Es hielt fest, dass der EDSB zwar gegenüber der Verwaltung unabhängig sei, aber - nach dem Willen des Gesetzgebers - eben keine Beschwerdebefugnis habe. Deshalb hätte die EDSK seine Beschwerde nicht behandeln dürfen. Damit hob das Bundesgericht den Entscheid der EDSK auf. Nachdem diese formelle Rechtsfrage geklärt ist, stellen sich eine ganze Reihe mate- rieller Fragen. Im vorliegenden Fall haben zwei unabhängige Datenschutzbehörden nacheinander eine - nach übereinstimmender Auffassung erhebliche - Datenschutz- widrigkeit festgestellt und ihre Behebung verlangt. Beide Datenschutzbehörden taten dies nach vergleichsweise aufwendigen Abklärungen vorab technischer Sachverhalte, in welche der Bürger bzw. die betroffenen Personen keinen Einblick haben und wel- che zudem sehr komplex sind. Es vermag nach unserer Auffassung gerade in kriti- schen Fällen nicht zu befriedigen, wenn nach der departementalen Ablehnung unse- rer Datenschutzempfehlung ein «Uebungsabbruch» stattfindet. Gerade in kritischen Fällen sollten die erkannten Datenschutzprobleme besonders sorgfältig untersucht und einer rechtsstaatlich einwandfreien Lösung zugeführt werden. Die heutige Ord- nung enthält daher nach unserer Auffassung eine empfindliche Lücke im Rechts- schutz. Es mag richtig sein, die Entscheidung dem Bürger zu überlassen, ob er bspw. sein Auskunftsrecht geltend machen will oder nicht. Hier braucht sich der EDSB nicht einzumischen. Wenn bei der behördlichen Datenbearbeitung indessen ein Systemfeh- lervorliegt, wird dies der davon betroffene Bürger kaum je selber feststellen können. Erwartet er zudem von der fraglichen Behörde in einer für ihn wichtigen Sache einen positiven Entscheid, wird er sich hüten, das gute Einvernehmen mit der Beanstandung des Datenschutzes zu trüben. Wir sind daher der Meinung, im Rechtsschutzsystem des Datenschutzgesetzes be- steht eine empfindliche Lücke. Sie sollte so bald als möglich geschlossen werden, am besten so, wie es seinerzeit der Bundesrat dem Parlament vorgeschlagen hat und der EDSB sollte die departementale Ablehnung seiner Empfehlung der Eidg. Daten- schutzkommission unterbreiten können. Die von Frau Nationalrätin von Felten einge- reichte Motion bietet nunmehr Gelegenheit, das DSG in dieser wichtigen Frage zu kor- rigieren. Im Rahmen der Ämterkonsultation haben wir diese Motion unterstützt und dem Bundesrat vorgeschlagen, diese Motion zu akzeptieren.

5. Tätigkeitsbericht 1997/1998 des EDSB 20

2.2. Elektronische Visa-Ausstellung im In- und Ausland; vom EDV-Projekt zur Ge- setzesvorschrift

@v…rv†rWv†hvqvrTpurv“r…qrihyqryrx‡…‚v†puhˆ†tr†‡ryy‡r…qrxr9h† r‡†ƒ…rpurqr@9WQ…‚wrx‡irsvqr‡†vpuvqr…r‡†purvqrqrQuh†rqr…Tvpur… urv‡†Bir…ƒ…BsˆtBr€††qr€9h‡r†puˆ‡“tr†r‡“ˆ…qrhˆpuqvrSrpu‡†t…ˆqyhtr htrƒh††‡

Das EDV-Projekt «elektronische Visa-Ausstellung», über welches wir bereits aus- führlich berichtet haben (TB 96/97 S. 14), hat die Konzeptphase durchlaufen und steht kurz vor seiner Realisierung. Es ermöglicht den schweizerischen Vertretungen im Aus- land und den Grenzposten in problemlosen Fällen sogleich vor Ort die nötigen Visa zur Einreise in die Schweiz auszustellen. Die Visa-Daten werden in einer besonderen Sammlung des Zentralen Ausländerregisters aufbewahrt. Vor jeder Einreisebewilli- gung wird das Zentrale Ausländerregister, gegebenenfalls das Fahndungsregister RIPOL und die Sammlung AUPER mit den Asylbewerberdaten konsultiert. Die Aus- landvertretungen greifen indessen nicht online auf die heiklen Daten zu, sondern das System führt die nötige Abklärung von der Schweiz aus durch und gibt das Ergebnis lediglich in Kurzform bekannt. Das führt zu einer erheblichen Reduktion von Daten- stransfers und von Sicherheitsfragen, wie wir es anlässlich der Voranalyse verlangt hatten. Gegenwärtig führen die Sicherheitsspezialisten des Bundes die noch ausste- hende Sicherheitsanalyse durch, wobei auch die Benutzer im Ausland miteinbezogen werden. Gerade bei einer Vielzahl von Benutzern und bei unterschiedlichen Zustän- digkeiten wie im vorliegenden Fall ist die Koordination der Sicherheit von erheblicher Bedeutung. In der Konzeptphase haben wir mit Nachdruck darauf hingewiesen. Das uns damals unterbreitete Sicherheitskonzept liess wichtige Fragen unbeantwortet. Der Sicherheitsbericht, den wir mit grossem Interesse erwarten, liegt noch nicht vor. Für die umfassenden, zum Teil neuen Datenbearbeitungen bei der Visa-Ausstellung waren auch die bisherigen Rechtsgrundlagen anzupassen. Weil die Visa- Datensammlung besonders schützenswerte Personendaten enthält und die Bekannt- gabe im Abrufverfahren ermöglicht, mussten entsprechende Vorschriften in das Aus- ländergesetz eingefügt werden. Das ist im Rahmen der hängigen Revision des Aus- ländergesetzes geschehen. Die Visa-Erteilung insgesamt wurde zudem in einer eige- nen Verordnung neu geregelt, welche die veralteten Vorschriften aus den 40er-Jahren ablöst. Die technischen Bestimmungen und die Umschreibung des Visa- Datenkatalogs wurden in die ZAR-Verordnung eingefügt. Mit der Inkraftsetzung dieser Vorschriften und bei einem positiven Ergebnis des Sicherheitsberichts darf das Sys- tem in Betrieb genommen werden.

2.3. EDV-Sicherheit bei der Zusammenarbeit der Fremdenpolizeibehörden von Bund und Kantonen

Hv‡qr…“ˆru€rqrDs‚…€h‡v†vr…ˆtqr…aˆ†h€€rh…irv‡r…uy‡qvrTvpur…urv‡rvr v€€r…t…††r…r7rqrˆ‡ˆt7ˆqr†qh‡rqB…srvpu‡hˆ†xh‡‚hyr@9WBr…‡r hitr“‚trˆq“rpxr‡s…r€qr‡r…qrCrvxyr9h‡r†vq“ˆpuvss…vr…rvu…r7rh…irv ‡ˆtv†‡“ˆƒ…‚‡‚x‚yyvr…r

In einem für Datenschutzinsider aufsehenerregenden Fall gelang es den Angestellten einer kantonalen Fremdenpolizeibehörde, über eine gewisse Zeit hinweg Ausländer- ausweise zu fälschen. Einer dieser Ausweise konnte durch Zufall einem Drogenhänd- ler abgenommen werden, der sich damit die Anwesenheitsberechtigung in der

5. Tätigkeitsbericht 1997/1998 des EDSB 21

Schweiz erschlichen hatte. Die Fälschung war durch unkontrollierte Manipulationen der Angestellten im Zentralen Ausländerregister ZAR und im EDV-Gerät des fragli- chen Kantons zustande gekommen. Wir haben zusammen mit dem zuständigen kan- tonalen Datenschutzbeauftragten eine Untersuchung eingeleitet, welche jedoch noch nicht abgeschlossen ist. Bundesseitig haben wir zudem verlangt, dass das Bundesamt für Ausländerfragen und das Rechenzentrum des EJPD eine Risikoanalyse samt Si- cherheitsbericht über das ZAR erstellen, wie wir sie bereits mit unserer ZAR- Empfehlung an das EJPD und unserer anschliessenden ZAR-Beschwerde an die Eidg. Datenschutzkommisison (EDSK) leider ergebnislos verlangt hatten (vgl. TB 1995/96 S. 14). Zugleich haben wir bei der EDSK vorsorgliche Massnahmen zur Ver- besserung der Sicherheit beim ZAR beantragt. Die EDSK hat hierauf verfügt, dass die Online-Zugriffe auf das ZAR unverzüglich zu protokollieren und die ZAR-Daten zu chiffrieren sind. Nach Mitteilung des EJPD wurden diese Massnahmen inzwischen umgesetzt, so dass wir sie nach Erhalt des Sicherheitsberichts zusammen mit den anderen Sicherheitsaspekten auf ihre Tauglichkeit hin überprüfen können. Wir hoffen, dass diese Fälschungsache in der Schweiz ein Einzelfall bleibt. Es ist ab- solut notwendig, dass Bund und Kantone bei der Sicherheit intensiv zusam- menarbeiten, wie wir dies bereits in der Vergangenheit mit Nachdruck gefordert haben (vgl. TB 1996/97 S. 15). Das bedeutet, dass die Kantone unter Umständen auf gewis- se Datenbearbeitungswünsche verzichten, wenn durch diese Wünsche eine noch fi- nanzierbare Sicherheit in Frage gestellt würde (vgl. unser Gutachten in VPB 60.10). Auch sollten die Kantone diejenigen Informatikmittel, mit denen sie «Bundesdaten» bearbeiten, dem hiefür notwendigen Sicherheitsstandard anpassen, selbst wenn sie diese Daten selber erhoben haben. Nur so ist nämlich eine rechtsgenügliche, landes- weite Datensicherheit möglich. Das hat man an vielen Orten erkannt, aber leider noch nicht überall.

2.4. Zu den Grenzen der kantonalen Vollzugsautonomie im Ausländerrecht am Bei- spiel der Amtshilfe

9vrFh‡‚r†vqirvqr…P…thv†h‡v‚qr†W‚yy“ˆt†‰‚7ˆqr†…rpu‡hˆ‡‚‚€Tvr €B††rqhirvhir…qvriˆqr†…rpu‡yvpurW‚…thirr…sByyr9h†irqrˆ‡r‡qh††qvr vr…xh‡‚hyr6€‡†uvysriˆqr†…rpu‡†x‚s‚…€hˆ†“ˆtr†‡hy‡rv†‡@vxh‡‚hyr†@v sBu…ˆt†tr†r‡““ˆ€6I6Bv…q†vpuqhur…€v‡W‚…‡rvyrthqvr†rx‡‚…vryyr6€‡†uvy srir†‡v€€ˆtrqr†7ˆqr†…rpu‡†hyrur

Das Ausländerrecht des Bundes verpflichtet die Behörden von Bund und Kantonen in vielen Fällen zur gegenseitigen Amtshilfe. Die Ausländerbehörden der Kantone müs- sen darüber informiert werden, ob Umstände eingetreten sind, welche sich auf die Anwesenheitsberechtigung von Ausländern in der Schweiz auswirken können. Das ist beispielsweise der Fall, wenn jemand zu einer bedeutenden Strafe verurteilt wurde, oder wenn die Ehe mit einem Schweizer oder mit einer Schweizerin bereits nach sehr kurzer Zeit wieder geschieden wurde. Die kantonalen Gerichte müssen daher der kan- tonalen Fremdenpolizei von sich aus in geeigneter Weise die relevanten Strafurteile und die Scheidungsurteile von Ausländern mitteilen. Eine Mitteilung der Urteilsdisposi- tive dürfte in aller Regel genügen. Mitteilungen, welche für die Regelung von auslän- derrechtlichen Fragen nicht unmittelbar nötig sind, müssen unterbleiben. Die detaillier- ten Urteilsbegründungen oder die (Scheidungs-) Akten selber benötigt die Fremden- polizei in der Regel nicht.

5. Tätigkeitsbericht 1997/1998 des EDSB 22

In einem in VPB 62.20 wiedergegebenen Gutachten haben wir uns zu dieser und zu ähnlichen Fragen geäussert. Dabei kamen wir zum Schluss, dass der Entwurf einer uns vorgelegten Amtshilfebestimmung für ein kantonales Einführungsgesetz zum ANAG wohl etwas zu weit ausgefallen war. Die fragliche Bestimmung verlangte näm- lich die Bekanntgabe sämtlicher die Ausländer betreffenden Urteile und Verfahren an die Fremdenpolizei. Das würde möglicherweise zu einer Menge von Datenbekanntga- ben führen, die der Gesetzgeber kaum wünscht und die auch vom Bundesrecht nicht gedeckt wären. Es dürfte genügen, wenn die Gerichte nach einer vernünftigen Vorse- lektion der Fremdenpolizei die für sie relevanten Tatsachen mitteilen.

2.5. Zur Sicherheit des «Sicherheitskontos» für Asylbewerber bei der Post und zum Sicherheitsbericht des Bundesamtes für Flüchtlinge

PurTvpur…urv‡xrvv…x†h€r…9h‡r†puˆ‡“Br…hqrsB…qvrir†‚qr…†urvxyr9h‡r irh…irv‡ˆtrv€6†’yir…rvpu†vqtˆ‡rTvpur…urv‡†€h††hu€rˆhiqvtih…9h† 7ˆqr†h€‡sB…AyBpu‡yvtruh‡vyhtr…ˆqhˆsrqvtr…6…irv‡rvrTvpur…urv‡†ir …vpu‡†h€‡ Hh††hu€rxh‡hy‚tsB…†rvr9h‡rirh…irv‡ˆtrr…h…irv‡r‡qr…xˆ…“ ‰‚…qr€6i†puyˆ†††‡ru‡Xvpu‡vtv†‡qh††Hh††hu€rqr…9h‡r†vpur…urv‡†‚‚uy v€Ahpuir…rvpuhy†hˆpuirvqrSrpur“r‡…rSrpur…ir‡…rvir…ˆ€tr†r‡“‡r…qr

Das Bundesamt für Flüchtlinge und die Post führen gemeinsam Konten für Sicher- heitsleistungen von Asylbewerbern. Aufgrund unserer Empfehlung vom 30. Januar 1995 (vgl. Tätigkeitsbericht 1995/96 S. 22) haben sich das Bundesamt für Flüchtlinge und die Post verpflichtet, die Datensicherheit dieser Konten zu verbessern. Die neue Lösung sieht u. a. den Einsatz von Chiffrierverfahren und Chipkarten vor. Das neue System soll in der Folge zertifiziert werden. Ab Ende 1994 begann das Bundesamt für Flüchtlinge zudem, die Datensicherheit im Amt systematisch zu überprüfen. In Zusammenarbeit mit den Sicherheitsspezialisten des Bundesamts für Informatik und der Universität Zürich wurden die Schutzobjekte erhoben, bewertet und ein Massnahmenkatalog ausgearbeitet. Wir haben uns zum Zwischenbericht im Jahr 1996 positiv geäussert, aber auch Problempunkte festgehal- ten. Unabdingbar für eine wirklich gute, lückenlose Datensicherheit ist eine gute Koor- dination zwischen den Fachbereichen und der Rechenzentren (Rechnerbetreiber).

2.6. Die Namensänderung nach ZGB wirkt auch bei einem Ausländer

6rqr…‡rv6ˆ†yqr…†rvrIh€rtr€††qrW‚…†pu…vs‡rqr†av‰vytr†r‡“iˆpu aB7€ˆ††hˆs†rvr€6ˆ†rv†ˆqv€6ˆ†yqr……rtv†‡r…s‚…‡hqr…rˆrIh€r‰r… rqr‡r…qr9r…s…Bur…rIh€rqh…sˆ…rvtr7r…rpu‡vt‡r“ˆttyvpuiyrvir 9vrXrv‡r…‰r…rqˆtqr†s…Bur…rIh€r†v€Biyvpur6€‡†‰r…xru…‚qr…th…“ˆƒ…v ‰h‡rXr…ir“rpxrv†‡vpu‡r…yhˆi‡9r…6ˆ†yqr…xhrvrTƒr……ˆt‚qr…7r…vpu ‡vtˆt‰r…yhtr

Mit Regierungsratsentscheid wurde einem Ausländer gestützt auf Art. 30 Abs. 2 ZGB bewilligt, fortan den Namen seiner Frau zu führen. Sein früherer, abgelegter Name blieb indessen weiterhin auf seinem Ausweis und im Ausländerregister verzeichnet. Auch die Swisscom adressierte ihre Werbesendungen weiterhin unter dem früheren Namen. Erfolglos ersuchte der Ausländer die zuständigen Stellen, im amtlichen und privaten Verkehr inskünftig nur noch seinen gesetzlichen Namen zu verwenden. Die Sache wurde uns vom bernischen Datenschutzbeauftragten zur Beurteilung aus bun-

5. Tätigkeitsbericht 1997/1998 des EDSB 23

desdatenschutzrechtlicher Sicht unterbreitet. Wir holten beim Bundesamt für Justiz, Amt für Zivilstandswesen, ein Gutachten über die Wirkung der Namensänderung im amtlichen und privaten Verkehr ein. Danach darf nach der Namensänderung nur noch der gesetzliche, das heisst der geänderte Name verwendet werden. Ist dies aus- schliesslich der Name des Ehepartners, darf folglich nur dieser Name verwendet wer- den. Ausnahmen gelten für Personen, die ein besonderes Interesse an der Kenntnis des abgelegten Namen nachweisen können oder für Registerpersonen, welche auch den früheren Namen kennen müssen. Demnach ist auch nach Datenschutzgesetz der «richtige» Name nur der gesetzliche, den der Träger verwenden will. Der frühere, ab- gelegte Name darf somit im amtlichen und privaten Verkehr grundsätzlich nicht mehr verwendet werden, also mangels ausdrücklicher anderer Vorschrift auch nicht auf dem Ausweis oder in denjenigen Rubriken des Ausländerregisters, welche vielen Per- sonen zugänglich gemacht werden können.

2.7. Datenschutzvorgaben bei der Erhebung von Ausländer- und Asylbewerberda- ten zu Forschungszwecken

9vr@…uriˆt‰‚6ˆ†yqr…ˆq6†’yirr…ir…qh‡r“ˆA‚…†puˆt†“rpxr‰r…yht‡ rvrtˆ‡r9h‡r†puˆ‡“9vrr…u‚irr9h‡r†vq†‚…h†puhy†€tyvpu“ˆh‚’€v †vr…r9h‡rrypurSBpx†puyB††rhˆsir†‡v€€‡rQr…†‚rtr†‡h‡‡r†vqˆ‡r…Wr… †puyˆ††“ˆuhy‡rˆq‰‚hqr…r9h‡r†h€€yˆtrtˆ‡hi“ˆx‚ƒƒry9vraˆt…vssr †vq“ˆx‚‡…‚yyvr…r7r†‚qr…††puB‡“r†r…‡r9h‡r†vq“ˆpuvss…vr…r

Im Rahmen nationaler oder anderer Forschungsprojekte werden immer häufiger auch hochsensible Daten über Ausländer und Asylbewerber erhoben. Die gute Integration der Ausländer ist ein wichtiges Ziel der schweizerischen Ausländerpolitik. Damit einher geht eine hohe Verantwortung für die korrekte Bearbeitung der dabei erhobenen Da- ten. Der Bezug zu bestimmbaren Personen soll nur so lange beibehalten werden, als dies wirklich nötig ist. Die Personendaten sind unter Verschluss zu halten. Werden sie mit EDV-Mitteln bearbeitet, was heute der Regelfall sein dürfte, sind sie von anderen Datensammlungen oder Datenbearbeitungen streng zu trennen und wirksam vor uner- laubten Zugriffen zu schützen. Hochsensible Daten beispielsweise über das Gesund- heitszustand von bestimmbaren Personen, namentlich aus einem relativ eng definier- ten anderen Kulturkreis sollten nach unserer Auffassung nur chiffriert aufbewahrt wer- den. Die Zugriffe darauf sind nur einem kleinen Personenkreis zu gewähren und zu- dem systemgestützt zu kontrollieren (Protokollierung). Das Bundesamt für Ausländer- fragen hat einen Standardvertrag für diejenigen Forschungsstellen ausgearbeitet, wel- che Daten aus dem Zentralen Ausländerregister benötigen. Wir begrüssen eine sol- che Massnahme. Sie gestattet es auch, den datenschutzrechtlichen Rahmen bei der Forschung kooperativ zu definieren und die Einhaltung gemeinsam mit den Forschern zu überwachen.

2.8 Datenschutz beim revidierten Asylgesetz und Ausländergesetz - im Ständerat unbestritten

Ihpuqr€Ih‡v‚hy…h‡uh‡hˆpuqr…T‡qr…h‡qvr9h‡r†puˆ‡“ir†‡v€€ˆtrv€6†’y tr†r‡“ˆqv€6I6Btˆ‡trurv††rAB…qvrurvxyr9h‡r†h€€yˆtrˆq9h‡rirh… irv‡ˆtrv€6†’yˆq6ˆ†yqr……rpu‡yvrtr†‚€v‡qvrtr€††9h‡r†puˆ‡“tr†r‡“ ‡vtrBr†r‡“r†‚…€r‰‚…9hirvuh‡qr…T‡qr…h‡r…s…rˆyvpur…rv†rˆ†r…r@…t

5. Tätigkeitsbericht 1997/1998 des EDSB 24

“ˆt†‰‚…†puytrhx“rƒ‡vr…‡AB…rvr†ru…x‚€ƒyr‘rHh‡r…vrx‚‡rv†tr†h€‡tˆ‡r G†ˆtrtrsˆqrr…qr

Eine wichtige und notwendige Ergänzung konnte mit einer Vorschrift über die elektro- nische Visa-Ausstellung eingefügt werden (vgl. vorne S. 20 sowie Tätigkeitsbericht 1996/97 S. 14). Ferner wurde die Delegationsnorm präzisiert, welche dem Bundesrat die Kompetenz zum Abschluss wichtiger Staatsverträge überträgt. Online-Zugriffe auf die sensiblen Asylbewerber- und Ausländerdatensammlungen sind zudem nur den ausdrücklich genannten Behörden gestattet und zwar ausschliesslich dann, wenn sie zur Erfüllung einer gesetzlichen Aufgabe unerlässlich sind. Weiter sollen die Finge- rabdrücke von Asylbewerbern nicht ausnahmslos erfasst werden. Insgesamt kann von einem abgerundeten datenschutzrechtlichen Regelwerk in einem ebenso heiklen wie komplexen Bereich gesprochen werden. Nach dem bisherigen Verlauf der Beratungen gehen wir davon aus, dass das erreichte gute Datenschutzniveau auch in der nächs- ten Phase unbestritten bleibt.

" Uryrx‚€€ˆvxh‡v‚

3.1. Das neue Fernmelderecht

9h†rˆrAr…€ryqrtr†r‡“ˆq†rvr6ˆ†sBu…ˆt†‰r…‚…qˆtrqvrh€ Ehˆh… (('vF…hs‡tr‡…r‡r†vqirvuhy‡r‡rvrSrvur‰‚Irˆr…ˆtrsB…qvr7rˆ‡“r…Tvr xrˆhrvrqr‡hvyyvr…‡rSrpuˆtr…uhy‡rˆq†vqvpu‡€ru…‰r…ƒsyvpu‡r‡†vpu v†Uryrs‚‰r…“rvpuv†rv‡…htr“ˆyh††r

Zur Frage des Gebührenauszugs hatten wir uns für die Beibehaltung der Lösung des alten Gesetzes ausgesprochen, das heisst für die Bekanntgabe der Vorwahlnummern der lokalen Zentralen (z.B. 033 333 xx xx). Der Gesetzgeber hat die Lösung der Be- kanntgabe der vollen Rufnummer vorgezogen (z.B. 033 333 33 33). Das neue Fern- melderecht enthält keine Bestimmung, welche das Recht der Abonnenten, detaillierte Rechnungen zu erhalten, mit dem Recht der Anrufer und der Angerufenen auf Schutz der Privatsphäre vereinbaren. Aus diesem Grund ist es nicht mit der Richtlinie des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und über den Schutz des Persönlichkeitsbereichs im Telekommunikationssek- tor vereinbar. Seit dem Inkrafttreten des neuen Fernmelderechts am 1. Januar 1998 kann der Abonnent von seinem Fernmeldedienstanbieter verlangen, ihm folgende Da- ten mitzuteilen: die Adressierungselemente der angerufenen Anschlüsse, d. h. die Kommunikationsparameter (Elemente zur Identifikation von Personen, Informatikpro- zessen, Geräten, Apparaten oder Anlagen, die an einem Telekommunikationsvorgang beteiligt sind), Numerierungselemente wie Vorwahl, Rufnummer und Kurznummer, weiter Datum, Uhrzeit und Dauer der Verbindung sowie das für die einzelnen Verbin- dungen geschuldete Entgelt. Seit Anfang des Jahres ist der Abonnent nicht mehr verpflichtet, sich in ein Tele- fonverzeichnis (elektronisch oder in Papierform) eintragen zu lassen. Zudem kann er zwischen verschiedenen Möglichkeiten auswählen, um seine Telefonverzeichnisdaten öffentlich zugänglich zu machen. Für Abonnenten, die in keinem Verzeichnis stehen möchten, besteht im Fall von Notrufen keinerlei Risiko. Das Fernmeldegesetz schreibt vor, dass die Anbieter von Fernmeldediensten den Zugang zu Notrufdiensten so ein- zurichten haben, dass der Standort der Anrufenden identifiziert werden kann. Die Verordnung über Fernmeldedienste präzisiert, dass die Identifikation des Standorts

5. Tätigkeitsbericht 1997/1998 des EDSB 25

auch für Abonnenten, welche auf die Eintragung in ein Verzeichnis verzichtet haben, garantiert werden muss.

9h†7rv†ƒvryTv††p‚€

Die Swisscom bietet ihren Abonnenten verschiedene Möglichkeiten an, um Telefon- verzeichnisdaten öffentlich zugänglich zu machen ("weisse", "grüne", "rote" und "schwarze" Liste). Die Telefonnummer und Adresse des "weissen" Abonnenten ste- hen in allen verfügbaren Verzeichnissen (in Papierform oder elektronisch, Auskunfts- dienst 111, CD-ROM usw.). Der "grüne" Abonnent ist nicht in den Verzeichnissen in Papierform und auf CD-ROM eingetragen, jedoch im elektronischen Telefonbuch, und seine Angaben sind beim Auskunftsdienst erhältlich. Der "rote" Abonnent hat die glei- che Auswahl wie der "grüne"; hinzu kommt, dass nur bestätigt wird, dass eine Adresse aufgeführt ist. Die Nummer wird jedoch nicht bekanntgegeben. Der "schwarze" Abon- nent ist in kein Verzeichnis eingetragen. Wir erinnern daran, dass für jene Kunden, die sich für die "schwarze" oder für die "rote" Liste entscheiden, keinerlei Risiko im Fall von Notrufdiensten besteht.

3.2. Die Datenschutzvorschriften für Konzessionäre der Grundversorgung

D€Ar…€ryqrir…rvpu†vqqvrF‚“r††v‚…rqr…B…ˆq‰r…†‚…tˆthy†ƒ…v‰h‡rQr…†‚ r‡‡vt9h†vrwrq‚pu6ˆsthirqr†7ˆqr†hu…ru€rtry‡r†vrv€Tvrqr† 9h‡r†puˆ‡“tr†r‡“r†hy†7ˆqr†‚…thr

Mit der Liberalisierung des Fernmeldemarktes und der Privatisierung von Telekom PTT, heute Swisscom, sind uns verschiedene Fragen zur Stellung des Unternehmens aus dem Blickwinkel des Datenschutzes gestellt worden. Für Bundesorgane und private Personen gelten nämlich nicht die gleichen Vorschriften zum Erfordernis einer Gesetzesgrundlage, zur Überwachung, Kontrolle und zur Meldepflicht von Daten- sammlungen. In Bereichen ausserhalb der Grundversorgung ist die Lage klar: bei den Anbietern von Fernmeldediensten handelt es sich um private Personen, die in einem wirtschaftlichen Konkurrenzverhältnis stehen und sich nach den für Private geltenden Datenschutzbestimmungen richten. Die Konzessionäre der Grundversorgung hinge- gen sind zwar ebenfalls private Personen, üben aber eine im Bundesgesetz über den Fernmeldeverkehr definierte Bundesaufgabe aus und unterstehen deshalb den für Bundesorgane geltenden Datenschutzbestimmungen. Einige Probleme dürften vor allem deswegen auftreten, weil die Konzessionäre der Grundversorgung gleichzeitig Konzessionäre anderer Dienste sein werden. Die Unterscheidung zwischen Daten- sammlungen mit Angaben zu Abonnenten der Grundversorgung und solchen zu Kun- den weiterer Dienste könnte sich als schwierig erweisen. Daher müssen zusammen mit den verschiedenen Akteuren - den Anbietern von Fernmeldediensten, vor allem der oder den Konzessionäre/n der Grundversorgung (Swisscom hat eine Konzession bis 2002 erhalten), dem Bundesamt für Kommunikation und dem Bundesamt für Jus- tiz - praktische Lösungen gefunden werden.

5. Tätigkeitsbericht 1997/1998 des EDSB 26

3.3. Das Auskunftsrecht und die Bekanntgabe von Daten zur Rechnungsstellung an den Abonnenten

9vr7r†‡v€€ˆtrBir…qvr7rxh‡thir‰‚9h‡r“ˆ…Srpuˆt††‡ryyˆthqr 6i‚r‡r†pu…xrqh†6ˆ†xˆs‡†…rpu‡vpu‡rv

Gestützt auf ein summarisches Rechtsgutachten des EJPD-Generalsekretariats ver- tritt das Bundesamt für Kommunikation den Standpunkt, dass das Fernmeldegesetz und seine Ausführungsverordnungen eine Einschränkung des Auskunftsrechts erlau- ben, und hat die Swisscom angewiesen, sämtliche Auskunftsbegehren abzulehnen. Wir teilen diesen Standpunkt nicht. Das Auskunftsrecht, ein Grundrecht der betroffenen Person, stellt das bedeutendste Rechtsinstitut des Datenschutzes dar. Nur so kann der Beteiligte seine Ansprüche durchsetzen, insbesondere ungenaue Daten berichtigen, ihre Genauigkeit anfechten oder sie gegebenenfalls vernichten lassen. Zudem besitzt dieses Recht eine erwiese- ne präventive Wirkung. Selbst wenn private Personen es selten ausüben, kann allein die Tatsache, dass ein Inhaber der Datensammlung von der Existenz des Rechtes weiss, diesen veranlassen, nur die wirklich notwendigen Personendaten auf korrekte Weise zu verwenden. Damit jeder dieses Auskunftsrecht unabhängig von seiner fi- nanziellen Situation wahrnehmen kann, hat der Gesetzgeber den Grundsatz der Kos- tenlosigkeit vorgesehen. Der Inhaber der Datensammlung kann in Ausnahmefällen eine Beteiligung an den Kosten verlangen, wenn das Auskunftsrecht in den letzten zwölf Monaten - ohne ungemeldete Veränderung der den Beteiligten betreffenden Daten in der Zwischenzeit - bereits ausgeübt wurde. Zudem kann der Inhaber einer Datensammlung die Bekanntgabe der angeforderten Auskünfte verweigern oder ein- schränken, soweit ein formelles Gesetz es vorsieht oder es wegen überwiegender In- teressen eines Dritten, wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft, erforderlich ist (gilt nur für Bundesorgane als Inhaber von Datensammlungen); ferner wenn die Auskunft den Zweck einer Strafuntersuchung oder eines anderen Untersuchungsverfahrens in Fra- ge stellt (gilt nur für Bundesorgane als Inhaber von Datensammlungen) oder wenn eigene überwiegende Interessen es erfordern (gilt nur für Private als Inhaber von Da- tensammlungen). Allerdings dürfen die Daten nicht an Dritte bekanntgegeben werden. Das Auskunftsrecht und die Bekanntgabe von Daten zur Rechnungsstellung an den Abonnenten verfolgen unterschiedliche Ziele: Ersteres erlaubt der betroffenen Person, eine "Kontrolle" über die Gesamtheit der von ihrem Fernmeldedienstanbieter bearbei- teten Daten auszuüben; letztere gibt dem Abonnenten die Möglichkeit, die vom Fern- meldedienstanbieter erstellten Rechnungen zu überprüfen. Eine Gesetzesbestim- mung kann logischerweise nicht die Anwendung einer anderen Norm, die einen unter- schiedlichen Bereich abdeckt, einschränken. Ohne auf juristische Einzelheiten einzu- gehen, erlaubt zudem nur ein formelles Gesetz die Beschränkung oder Verweigerung des Auskunftsrechts; das Fernmeldegesetz enthält jedoch keine solche Bestimmung.

3.4. Rufnummeranzeige und -unterdrückung

9vrF‚‡…‚‰r…†rˆ€qvr@…uriˆtrvr…BriBu…sB…qvrV‡r…q…Bpxˆtqr…Uryrs‚ ˆ€€r…x‚‡r‚puvpu‡‰‚yy†‡qvthitr†puy‚††rr…qr9r…@‡†purvqqr†@vqt Wr…xru…†ˆq@r…tvrv…‡†puhs‡†qrƒh…‡r€r‡r†@W@9urˆ‡rVW@F‰‚€H…“ ((& ‚hpurvr†‚ypurBriBu…rv‡r…uvr…u‚irr…qrqh…sˆ…qr‰‚Tv††p‚€ Fˆqr€v‡7r†pur…qrirvqr…@vqt9h‡r†puˆ‡“x‚€€v††v‚htrs‚pu‡r

5. Tätigkeitsbericht 1997/1998 des EDSB 27

Die Thematik der Rufnummeranzeige und deren Unterdrückung beschäftigt uns be- reits seit mehreren Jahren (siehe auch unseren 4. Tätigkeitsbericht Seite 20f). Ange- rufene im diensteintegrierenden digitalen Netz (ISDN) und auch im digitalen Mobiltele- fonnetz (Natel D) ersehen normalerweise die Nummer des Anrufenden. Dies ist sehr zu begrüssen, kann doch der Angerufene auswählen, mit wem er zu welcher Zeit sprechen will. Die Übertragung der Rufnummer des Anrufenden muss jedoch freiwillig sein. Denn in einigen Fällen kann die Rufnummerübermittlung heikle Informationen (z.B. aufgesuchter Arzt, Anwalt etc.) offenbaren. Jeder Anrufer soll pro Telefonat (fall- weise) entscheiden können, ob er die Nummer übertragen lassen will oder nicht. Die- se Möglichkeit haben bereits die Inhaber von digitalen Anschlüssen. Wer einen analo- gen Anschluss hat, wird die fallweise Rufnummerunterdrückung im Laufe dieses Jah- res (1998) erhalten, wie uns die Swisscom versichert hat. Erwähnt sei, dass der Ange- rufene selbstverständlich frei ist, Anrufe mit unterdrückter Rufnummer entgegenzu- nehmen. Das neue Fernmelderecht sieht sogar vor, dass er eingehende Anrufe mit unterdrückter Rufnummer generell zurückweisen können muss. Dies wird von uns be- grüsst. Unsere Forderung nach Kostenlosigkeit der Rufnummerunterdrüc??kung ist dagegen immer noch nicht erfüllt. Das EVED hatte im März 1997 in einem Entscheid die Erhebung einer einmaligen Unterdrückungsgebühr als rechtmässig bezeichnet. Dieser Entscheid wurde von Swisscom-Kunden mit Beschwerde an die Eidg. Daten- schutzkommission (EDSK) angefochten. Diese hat bis zum Redaktionsschluss dieses Berichts noch nicht entschieden. Erwähnt sei an dieser Stelle, dass die TELECOM PTT (heute Swisscom) es leider unterliess, auf die notwendige Rechtsmittelbelehrung (Beschwerdemöglichkeit an die EDSK) hinzuweisen, als sie der Verpflichtung nachkam, ihre Kundschaft über den Entscheid des EVED zu informieren.

3.5. Identifizierung/Registrierung der NATEL-easy-Benutzer ?

Hv‡rvr…xˆ…“s…v†‡vtrvtrsBt‡rWr…‚…qˆt†ir†‡v€€ˆtˆ…qr‰r…†ˆpu‡qvrDqr‡v‡‡ ‰‚I6U@Grh†’Fˆqr“ˆr…sh††rHv‡qr…‰‚…yvrtrqr7r†‡v€€ˆtxhqvr Tv††p‚€wrq‚puvpu‡‰r…ƒsyvpu‡r‡r…qrqvr9h‡rqr…@…†‡xˆsr…rvr…rh†’8uvƒ Fh…‡r“ˆr…sh††rˆq“ˆ…Wr…sBtˆt‰‚Eˆ†‡v“ˆqQ‚yv“rviru…qrhˆs“ˆirhu…r

Zu Beginn des Jahres 1998 hat eine Bestimmung der neu in Kraft getretenen Verord- nung über Fernmeldedienste für Verwirrung gesorgt. In Artikel 49 der Verordnung steht: «Die Anbieterinnen von Fernmeldediensten sind verpflichtet, die Teilnehmerin- nen und Teilnehmer bei der Aufnahme von Kundenbeziehungen zu identifizieren». Dieser Artikel ist erst kurz vor Verabschiedung der Verordnung eingefügt worden; im Entwurf, der im Sommer 1997 in die Ämterkonsultation gelangte, war nichts von einer derartigen Forderung zu finden. Offensichtlich ist dieser Artikel seitens der Bundes- anwaltschaft gefordert worden mit dem Ziel, die Identität von Natel-easy-Kunden bzw. mindestens der Erstkäufer zu erfassen. So wie der Verordnungsartikel formuliert ist, kann er jedoch nicht auf Natel-easy- Käufer angewandt werden. Denn es wird keine Kundenbeziehung mit der Anbieterin Swisscom aufgenommen. Es ist lediglich ein Mobiltelefon und auch eine Chip-Karte (GSM Card) zu erwerben. Die Karte kann anonym mit dem gewünschten Betrag nachgeladen werden. Der Kauf der Chip-Karte muss nicht einmal direkt bei der Netz- betreiberin Swisscom getätigt werden, da weitere Verkaufskanäle, wie z.B. Elektronik- fachhandel benutzt werden können. Zudem stellt sich die Frage, wie der in der Ver- ordnung verwendete Begriff «identifizieren» auszulegen ist. Eine Verpflichtung, die

5. Tätigkeitsbericht 1997/1998 des EDSB 28

Daten von Natel-easy-Käufern aufzunehmen und zur Verfügung von Behörden aufzu- bewahren, kann jedenfalls nicht abgeleitet werden. Abgesehen davon, wäre eine Registrierung der Erstkäufer auch kaum effektiv, da die Geräte und Chip-Karten ohne weiteres weitergegeben werden können. Käufer und Benutzer müssen nicht zwingend identisch sein. Zudem ist es nicht verhältnismässig, mit hohem Aufwand neue Datensammlungen anzulegen, deren Nutzen bei der Verbrechensbekämpfung von geringem Nutzen wären und unbeteiligte Dritte in Ver- dacht ziehen könnten.

3.6. Live-Kameras im Internet

Gv‰rFh€r…h†v€X‚…yqXvqrXri†vqr‡rqr…†‚“ˆx‚svtˆ…vr…rqh††Qr…†‚r vpu‡r…xh‡r…qrxr‚qr…qvrir‡…‚ssrrQr…†‚rqhsB…vu…r@vvyyvtˆt trtriruhirTvr€B††rqhirvvFr‡v†tr†r‡“‡†rvqh††vu…7vyqry‡rv‡hi …ˆsih…v†‡

Im World Wide Web (WWW) sind zahlreiche sog. Live-Kameras (LiveCams) anwähl- bar. Es handelt sich um Videokameras, die in gewissen Zeitabständen oder auf An- frage des Benutzers Bilder ins Netz speisen. Die via LiveCams abrufbaren Bilder die- nen meist der Unterhaltung und sollen die Attraktivität von Internet-Seiten erhöhen. Eine Person ist im Zusammenhang mit auf öffentlichen Plätzen installierten Live- Kameras an uns gelangt. Sie fühlte sich durch die Kameras in ihrer Bewegungsfreiheit tangiert und befürchtete eine missbräuchliche Nutzung zu Überwachungszwecken. Die Bilder einer Live-Kamera lassen sich via WWW weltweit abrufen und können beim Internetbenutzer unkontrolliert weiterverarbeitet werden. Die Bilder sind je nach Sys- tem von unterschiedlicher Qualität: einige Kameras sind fest montiert und erlauben es dem Internet-User nicht, einen eigenen Bildausschnitt zu wählen. Andere Kameras lassen sich vom Benutzer in verschiedene Positionen bringen und/oder erlauben ei- nen Bildausschnitt vergrössert darzustellen.

Wir haben festgestellt, dass Live-Kamera-Systeme existieren, die es zumindest unter bestimmten Bedingungen (z.B. mit Zoomfunktion) erlauben, Personen zu erkennen. Oft werden die Kameras von den erfassten Personen nicht wahrgenommen. Sie ha- ben somit keine Kenntnis, dass und zu welchem Zweck sie gefilmt werden, geschwei- ge denn, dass ihr Bild im Internet weltweit abrufbar ist. Wir haben festgestellt, dass bei einer Live-Kamera in einem Warenhaus sogar Angestellte im Blickfeld der Kamera waren. Allerdings dürfen ohne Einwilligung keine Personendaten via Live-Kameras abrufbar sein. Zudem darf die Einwilligung nicht beeinflusst werden. Hat die betroffene Person irgendwelche Nachteile zu befürchten, wenn sie sich nicht von der Kamera erfassen lassen will, ist die Einwilligung nicht gültig. Besonders heikel ist die Situation, wenn Angestellte bei ihrer Arbeit von einer Live-Kamera erfasst werden. Eine Einwilligung ist bei Live-Kameras auf öffentlichen Strassen oder Plätzen kaum praktikabel. In diesen Fällen ist mit technischen und organisatorischen Massnahmen sicherzustellen, dass die erfassten Personen nicht bestimmbar sind. Der EDSB sieht daher folgende Möglichkeiten für den datenschutzkonformen Einsatz von Live-Kameras, die auf allgemein zugänglichen Plätzen (wie z.B. Strassen, Park- plätze, Bahnhöfe, Warenhäuser etc.) installiert sind:

5. Tätigkeitsbericht 1997/1998 des EDSB 29

6. Die Live-Kamera ist derart konfiguriert, dass keine Personen (bzw. Gegen- stände, durch welche Personen bestimmt werden können) erkannt werden.

7. Falls eine Bestimmbarkeit der Personen gegeben ist,

• muss dies für die Person, die von der Kamera aufgenommen werden soll, ersichtlich sein.
• Der Wille, nicht gefilmt zu werden, muss jederzeit respektiert werden kön- nen.
• Eine verständliche Information muss erfolgen, bevorder Aufnahmebereich der Kamera betreten wird.
• Die betroffene Person muss sich frei von irgendwelchen Bedingungen ent- scheiden können, ob ihr Bild von der Kamera erfasst werden darf. Das heisst: An Stellen, die notgedrungen von Personen passiert werden müs- sen, dürfen keine Live-Kameras installiert werden, die eine Identifikation der gefilmten Personen erlauben.
• Die abgerufenen Bilder sind vom Live-Kamera-Betreiber nicht aufzube- wahren.

3.7. Postfinance - Allgemeine Geschäftsbedingungen

Ahyy†hpu‰‚…ttvtr…Ds‚…€h‡v‚qvrFˆqvrˆqFˆqrqvr†vpu‡ˆ‡r…†ht‡ uhirqh…sqvrTpurv“r…v†purQ‚†‡qvr6q…r††rvu…r…FˆqvrˆqFˆqrh9…v‡ ‡rrv‡r…trirD€7r…rvpuahuyˆt†‰r…xru…Q‚†‡svhpr†‡ryy‡rv…sr†‡qh††qvr†r Ds‚…€h‡v‚ˆtrBtrqv†‡ˆq‚ƒ‡v€vr…‡r…qr€ˆ††

Seit Anfang 1998 besitzt die Schweizerische Post eine neue Rechtsform. Sie stützt sich im Geschäftsverkehr mit ihrer Kundschaft nun u.a. auf Allgemeine Geschäftsbe- dingungen (AGBs). Ende 1997 wurden den Kundinnen und Kunden des Bereichs Zahlungsverkehrs (Postfinance) die neuen AGBs zugestellt. Unter Punkt 17 wird unter dem Titel «Datenschutz» vermerkt: «Ohne gegenteilige Mitteilung kann die Post Na- men und Adressen ihrer Kunden an Dritte weitergeben». Mehreren Inhaber eines Postkontos haben sich an dieser Bestimmung gestossen und sind an uns gelangt. Es war ihnen auch unklar, auf welche Weise die Datenbekanntgabe gesperrt werden kann. Die Post hat aufgrund einer Verordnung zum Postgesetz ausdrücklich das Recht, die Postadressen von Kundinnen und Kunden Dritten bekanntzugeben, sofern diese die Weitergabe nach vorheriger Information nicht untersagt haben. Lediglich die Informa- tion in den erwähnten AGBs ist jedoch ungenügend. Es muss besser gewährleistet sein, dass der Kunde zur Kenntnis nimmt, dass eine Nicht-Reaktion seinerseits dazu führt, dass seine Adress-Daten weitergegeben werden. Wir haben der Post daher vorgeschlagen, eine Lösung zu wählen, die sicherstellt, dass die Information zur Kenntnis genommen wird. Beispielsweise kann die Post Ihrer Kundschaft eine Ant- wortkarte zustellen, mit deren Zurücksendung die Sperrung der Adressangaben kund- getan werden kann. Die Post hat uns versichert, die Information diesbezüglich zu verbessern.

5. Tätigkeitsbericht 1997/1998 des EDSB 30

Qr…†‚hyr†r

7ˆqr†‰r…hy‡ˆt

4.1. Leistungserfassungssysteme in der Bundesverwaltung

Grv†‡ˆt†r…sh††ˆt†v†‡…ˆ€r‡r†vqhˆ†qr…Tvpu‡qr†Qr…†yvpuxrv‡††puˆ‡“r†v†‚ sr…ƒ…‚iyr€h‡v†puqhrvrqr‡hvyyvr…‡rGrv†‡ˆt†r…sh††ˆtSBpx†puyB††rhˆsqh†Wr… uhy‡rrvr…Qr…†‚r…yhˆirxh9h…hˆ†xhrvrˆhtr€r††rr7rrv‡…pu‡v tˆtqr…Q…v‰h‡†ƒu…rh€6…irv‡†ƒyh‡“s‚ytrrypurtr€††Svpu‡yvvrqr…v‡r…h‡v ‚hyr6…irv‡†‚…thv†h‡v‚†vrur6uhtT ˆqQr…†yvpuxrv‡†puˆ‡“…rpu‡ˆ“ˆ y††vtv†‡Xv…uhirsB…qvr@vsBu…ˆt‰‚Grv†‡ˆt†r…sh††ˆt††’†‡r€rGrv‡ƒyhxr “ˆ€Tpuˆ‡“qr…Qr…†yvpuxrv‡hˆstr†‡ryy‡

Mehrere Einheiten der Bundesverwaltung sind zurzeit mit der Einführung von Leistungserfassungsysteme konfrontiert. Der Haupzweck eines Leistungserfas- sungssystems besteht darin, durch eine Kostenleistungsrechnung eine bessere Ver- teilung der finanziellen und menschlichen Ressourcen zu erreichen. Es geht also grundsätzlich nicht um eine Mitarbeiterkontrolle, sondern um ein «controlling» im Sin- ne des New Public Management. Gerade die vielfältigen Bearbeitungsmöglichkeiten des Systems erlauben jedoch auch die Erstellung von detaillierten Benutzerprofilen (u. a. durch die systematische Erfassung der Fehlzeiten, Ausbildung, Leistungen, usw. ). Obwohl die Auswertungen aus dem System so weit als möglich anonymisiert vorge- nommen werden sollen, sind Leistungserfassungsysteme aus Sicht des Persönlich- keitsschutzes nicht unbedenklich. Die erstellten Benutzerprofile können nämlich Rückschlüsse auf das Verhalten der betroffenen Personen erlauben. Die Verhaltens- kontrolle ist aber sowohl nach Bundesrecht als auch gemäss den Richtlinien der Inter- nationalen Arbeitsorganisationin Genf verboten. Leistungserfassungssysteme stehen im Einklang mit dem Persönlichkeitsschutz, wenn folgende Voraussetzungen kumu- lativ erfüllt sind:

Die Verhaltenskontrolle ist dadurch zu verhindern, dass die Linienvorgesetzten oder Sektionsschefs keine Einsicht in den erfassten Daten ihrer Mitarbeiter erhalten.

Der Zugriff auf die erfassten Daten ist, wenn möglich, auf eine einzige Person (Team- assistent) der jeweiligen Abteilung zu beschränken. Die Funktion des Teamassisten- ten besteht im wesentlichen darin, die erfassten Daten hinsichtlich ihrer Vollständigkeit zu kontrollieren, «aufzusummieren» und in anonymisierter Form an die auswertende Stelle weiterzuleiten. Optimal wäre es, wenn diejenige Person, welche auch mit der Zeiterfassungskontrolle beauftragt ist, auch die Funktion des Teamassistenten über- nehmen würde. Der Teamassistent hat die nicht anonymisierten Daten und allfällige Kopien spätestens ein Jahr nach erfolgter «Aufsummierung» zu vernichten. Die einzelnen Abwesenheitsposten (Ferien, Unfall, Krankheit, ...) sind zusam- menzufassen, da eine detaillierte Abwesenheitsbegründung mit der Zeiterfassung be- reits gegeben ist. Es soll im übrigen nur die Bruttoarbeitszeit erfasst und ausgewertet werden.

Fehlzeiten (Pausen, ...) sollen nicht speziell ausgewertet werden, da beim Controlling tatsächlich nur die globalen Kosten eines Projektes von Bedeutung sind. Die globalen Kosten erfassen auch die Fehlzeiten, die in jedem Fall vom Arbeitgeber zu tragen sind. Die Erfassung der globalen Kosten erhöht die Akzeptanz des Leistungserfas-

5. Tätigkeitsbericht 1997/1998 des EDSB 31

sungssystems und verringert das Risiko von bewusst falschen Erfassungen durch die Mitarbeiter (Datenrichtigkeit).

Die zu erfassenden Aufwände müssen von einer zentralen Stelle klar festgelegt wer- den (Kostenträger). Die Verantwortlichkeiten aller Stufen sowie der Verwendungs- zweck für die Daten müssen klar geregelt sein.

Es sind sowohl ein Bearbeitungsreglement als auch Rundschreiben zuhanden der Systembenutzer zu erstellen.

Da auf Stufe Abteilung oder Sektion nicht anonymisierte Personendaten bearbeitet werden, brauchen Leistungserfassungssysteme eine gesetzliche Grundlage. Wir ha- ben vorgeschlagen, die gesetzliche Grundlage im Rahmen der laufenden Revision des Beamtengesetzes zu schaffen.

Das Mitspracherecht des Personals bzw. seiner Vertreter muss gemäss Rundschrei- ben des Eidg. Personalamtes vom 26. März 1984 gewährleistet werden (siehe auch Tätigkeitsbericht 1993/94, S. 60). Die Information des Personals über die Einführung eines Leistungserfassungssytems allein genügt nicht. Das Personal muss auch die Möglichkeit haben, sich über die Einführung des Leistungserfasssungssystems aus- zusprechen.

4.2. Die Bekanntgabe von Arbeitslosendaten auf dem Internet

9h†7ˆqr†h€‡sB…Xv…‡†puhs‡ˆq6…irv‡7X6rur€hy†7DB6€hpu‡rqrƒ…v‰h‡r 6…irv‡†‰r…€v‡‡yr…6…irv‡†y‚†rƒ…‚svyrhˆsqr€D‡r…r‡“ˆttyvpurypurv€Trƒ‡r€ ir… ((&†‚th…ry‡rv‡hi…ˆsih…h…rXv…uhirqr€7X6r€ƒs‚uyrqraˆt…vss† †puˆ‡“vrqr…v†‡hq“ˆ†‡ryyrˆqhˆsqvr7rh…irv‡ˆt‰‚ir†‚qr…††puB‡“r†r… ‡r9h‡rv€D‡r…r‡“ˆ‰r…“vpu‡rD€rv‡r…r†‚yyhˆsqvr7rh…irv‡ˆt‰‚9h‡rqvr vxrvr€aˆ†h€€ruht€v‡qr…6…irv‡†‰r…€v‡‡yˆt†‡rur‰r…“vpu‡r‡r…qr

Ende September 1997 stellten wir fest, dass Arbeitslosendaten mit z. T. sehr sensib- len Angaben auf dem Internet weltweit und ohne Zugriffsschutz abrufbar waren. Die Daten stammten aus dem Arbeitsinformationssystem AVAM des BWA, welches der Arbeitsvermittlung dient. Neben den zulässigen Datenfeldern waren z. T. besonders schützenswerte Daten ersichtlich, die in keinem Zusammenhang mit der Arbeitsver- mittlung standen. So waren etwa Arbeitslose (inkl. AHV-Nr.) darin namentlich erwähnt. Zudem enthielt das AVAM Angaben über strafrechtliche Verfolgungen und Sanktionen («war ca. 3 Jahre im Gefängnis, Strafanstalt Hinwil»), über die Gesundheit («Leidet an chronischen Kopfschmerzen», «in psychiatrischer Klinik Meiringen» und «schwer de- pressiven Ehemann») aber auch andere Informationen wie «betreut 3 Kinder», «Kün- digungsgrund» oder «Ev. überprüfen wegen Missbrauch». Wir haben das systemver- antwortliche BWA aufgefordert, den Zugriffsschutz unverzüglich wieder zu installieren. Gleichzeitig haben wir dem BWA schriftlich empfohlen, die Abrufbarkeit der AVAM- Daten auf Internet auf die zugriffsberechtigten Stellen zu beschränken und die Funkti- onstüchtigkeit des Zugriffsschutzes regelmässig zu überprüfen. Wir haben dann das BWA angewiesen, die Rubrik «freier Zusatztext» im Internet ersatzlos zu streichen. Die Empfehlung wurde im wesentlichen damit begründet, dass die AVAM-Daten im Internet nur den privaten Stellenvermittlern und nur in anonymisierter Form zugänglich gemacht werden dürfen. Die Veröffentlichung der fraglichen Arbeitslosendaten wider-

5. Tätigkeitsbericht 1997/1998 des EDSB 32

sprach im übrigen den Interessen der Arbeitslosen und stellte in gewissen Fällen (An- gaben über Schwangerschaft etc.) auch eine Verletzung des Bundesgesetzes über die Gleichstellung von Frau und Mann (GlG) dar. Wir haben uns dann anfangs Oktober 1997 mit der Frage der gesetzlichen Grundlage für die Bekanntgabe von Arbeitslosendaten auf Internet auseinandergesetzt. Durch diese Bekanntgabe werden den privaten Arbeitsvermittlern Persönlichkeitsprofile einer grösseren Anzahl von Arbeitslosen während einer unbestimmten Zeit zugänglich ge- macht. Auch die Anonymisierung der publizierten Persönlichkeitsprofile ist nicht ge- währleistet. Einerseits wird, wie wir es in unserer Empfehlung vom 26. September 1997 (siehe Anhang S. 112) feststellen mussten, in manchen Fällen die Identität der betroffenen Personen bekanntgegeben. Andererseits sind in den Fällen, wo die Per- sönlichkeitsprofile ohne Identität publiziert werden, die betroffenen Personen z. T. oh- ne grossen Aufwand identifizierbar. Unter diesen Umständen haben wir das BWA darauf aufmerksam gemacht, dass die AVAM-Daten auf dem Internet ohne genügende gesetzliche Grundlage nicht zugäng- lich gemacht werden dürfen. Eine solche ist auch dann erforderlich, wenn die Einwilli- gung der betroffenen Personen vorliegt. Will das BWA dennoch auf die Bekanntgabe der Persönlichkeitsprofile ohne gesetzliche Grundlage bestehen, so ist dafür zu sor- gen, dass die betroffenen Personen nicht mehr oder nur mit einem unverhältnismäs- sig hohen Aufwand identifizierbar sind. Das BWA hat uns in diesem Sinne ein neues Datenprofil über Arbeitslose vorgestellt, das nun als anonymisiert betrachtet werden kann. Schliesslich verlangten wir, dass die Rubrik «freier Zusatztext» auch in der AVAM-Verordnung ersatzlos gestrichen wird.

4.3. Revisionsarbeiten in der Beamtengesetzgebung und das System BV-PLUS

D€Shu€rqr…Sr‰v†v‚qr†7rh€‡rtr†r‡“r†uhirv…“ˆ…@vsBu…ˆtrvr†“r‡…hyv †vr…‡r9h‡rirh…irv‡ˆt††’†‡r€††vrurqh“ˆU‡vtxrv‡†ir…vpu‡ ((%(&T!(†‚vr “ˆ…7rh…irv‡ˆtqr…Br†ˆqurv‡†qh‡rvqr…7ˆqr†‰r…hy‡ˆtT‡ryyˆttr‚€€r Xv…uhirv†ir†‚qr…rhqr…I‚‡rqvtxrv‡qr…aˆ†‡qvtxrv‡†…rtryˆt“v†pur @vqtQr…†‚hyh€‡ˆqqrBi…vtrQr…†‚hyqvr†‡rqr…7ˆqr†‰r…hy‡ˆtqˆ…puqh† @vqtAvh“qrƒh…‡r€r‡sr†‡truhy‡r7v†urˆ‡rv†‡rvr‡†ƒ…rpurqr…@‡†purvq vpu‡trsyy‡‚…qr9vrtr†r‡“yvpurSrtryˆtqr…7rh…irv‡ˆtqr…9h‡rqr†7ˆqr† ƒr…†‚hy†v…qvpu‡iv†Hv‡‡r (('tru…yrv†‡r‡r…qr

Das Eidg. Personalamt hat uns im Laufe von 1997 den Entwurf für ein neues Bundes- personalgesetz wiederholt zur Stellungnahme vorgelegt. Nachfolgend veröffentlichen wir eine Zusammenfassung unserer datenschutzrechtlichen Bemerkungen, unter be- sonderer Berücksichtigung des Personalinformationssystems der Bundesverwaltung sowie der Bearbeitung von Gesundheitsdaten.

9h†Qr…†‚hyvs‚…€h‡v‚††’†‡r€qr…7ˆqr†‰r…hy‡ˆt

Die Bearbeitung von besonders schützenswerten Personendaten oder Persönlich- keitsprofilen durch Bundesorgane bedarf einer gesetzlichen Grundlage im formellen Sinne. Diese erhöhte Anforderung an die gesetzliche Grundlage für das Personalin- formationssystem der Bundesverwaltung erweist sich auch deshalb als notwendig, da die bearbeiteten Daten teilweise durch Abrufverfahren zugänglich gemacht werden können. Als erstes hat die gesetzliche Grundlage das Zuständigkeitsverhältnis zwi- schen dem Eidgenössischen Personalamt und den übrigen, auf Departements- und Amtsebene tätigen Personaldiensten in Bezug auf die Datenbearbeitung festzuhalten. Erst danach können für die einzusetzenden zentralen und dezentralen Datenbearbei-

5. Tätigkeitsbericht 1997/1998 des EDSB 33

tungssysteme in der Bundesverwaltung unmissverständliche Bearbeitungszwecke gesetzlich vorgeschrieben werden. Der Bundesrat hat mit Beschluss vom 19. Dezem- ber 1997 den Einsatz der Standardsoftware SAP R/3 HR für die Informatikunterstüt- zung des Personalwesens der allg. Bundesverwaltung für verbindlich erklärt. Gemäss diesem Beschluss soll ein zentrales Kernsystem realisiert werden, welches die in allen Bereichen gemeinsamen Funktionen und die zentralen Bedürfnisse abdeckt. Die übri- gen Funktionen der Standardsoftware können die Departemente, Gruppen und Ämter individuell nutzen. Bereits in unserer Empfehlung vom 4. Juli 1996 haben wir diese Lösung unterstützt und vorgeschlagen, das zentrale Personalinformationssystem le- diglich für die Lohnbewirtschaftung einzusetzen. Anfangs 1998 haben wir das Eidg. Finanzdepartement ersucht, den bundesrätlichen Beschluss im Sinne unserer Emp- fehlung vom 4. Juli 1996 zu präzisieren. Bis heute ist der entsprechende Entscheid nicht gefällt worden.

Aus dem Entwurf eines Bundespersonalgesetzes geht nicht hervor, wie die Verteilung der Zuständigkeiten in Zusammenhang mit der Datenbearbeitung in der Bundesver- waltung geregelt sein soll. Demzufolge sind auch die unterschiedlichen Zwecke zent- ral und dezentral einzusetzender Systeme aus dem Gesetzesentwurf nicht ersichtlich.

Wir haben folgende Regelung der Datenbearbeitung in der Bundesverwaltung vorge- schlagen:

9h†@vqtQr…†‚hyh€‡irh…irv‡r‡vaˆ†h€€rh…irv‡€v‡qrQr…†‚hyqvr†‡rqr… 7ˆqr†‰r…hy‡ˆtqvrs+…qvr7ˆqr†ƒr…†‚hyirv…‡†puhs‡ˆtir>‡vt‡rQr…†‚r qh‡rT‚rv‡r†s+…qvr@…s+yyˆtvu…r…tr†r‡“yvpur6ˆsthirˆr‡iru…yvpuv†‡x> rqvr†r7ˆqr††‡ryyrQr…†>yvpuxrv‡†ƒ…‚svyr†‚vr9h‡r+ir…Br†ˆqurv‡Hh†† hu€rqr…†‚“vhyrCvysrˆq+ir…ir‡…rviˆt††‡…hsˆqhq€vv†‡…h‡v‰…rpu‡yvpur Hh††hu€rirh…irv‡r

9h†@vqtQr…†‚hyh€‡s+u…‡rvQr…†‚hyvs‚…€h‡v‚††’†‡r€7WQGVTqh†qr… 7rh…irv‡ˆtqr…s+…qvrG‚uirv…‡†puhs‡ˆtqr†7ˆqr†ƒr…†‚hy†ir>‡vt‡r9h‡r qvr‡

9rQr…†‚hyqvr†‡rqr…7ˆqr†‰r…hy‡ˆt‚iyvrt‡qvr9h‡rirh…irv‡ˆtvqr hqr…r7r…rvpurqr…Qr…†‚hyirv…‡†puhs‡ˆtaˆqvr†r€arpxir‡…rvir†vrvu…r rvtrrQr…†‚hyvs‚…€h‡v‚††’†‡r€rTvrx>r†‚rv‡r†qvr7r†r‡“ˆtrvr… T‡ryyrr…s‚…qr…yvpu€hpu‡€v‡@vvyyvtˆtqr…ir‡…‚ssrrQr…†‚t…hƒu‚y‚tv†purBˆ‡ hpu‡rr…†‡ryyr‚qr…Qr…†>yvpuxrv‡†‡r†‡†qˆ…pus+u…ryh††r

9vrQr…†‚hyqvr†‡rqr…7ˆqr†‰r…hy‡ˆtx>rs+…qvr7rv…‡†puhs‡ˆtqr…9h ‡rqr†7ˆqr†ƒr…†‚hy†qˆ…pu6i…ˆs‰r…shu…rh€T’†‡r€7WQGVThtr†puy‚††r r…qr9r…aˆt…vssrvr†Qr…†‚hyqvr†‡r†v†‡hˆsqvrwrvtr9h‡rir†pu…6x‡qvr qh†vu€ˆ‡r…†‡ryy‡r7ˆqr†ƒr…†‚hyir‡…rssr

T‚sr…xrvrSrpu‡†t…ˆqyhtrir†‡rurtrirqh†@vqtQr…†‚hyh€‡ˆqqvr Qr…†‚hyqvr†‡rqr…7ˆqr†‰r…hy‡ˆtQr…†‚rqh‡rh9…v‡‡rˆ…irxh‡†‚rv‡ qvrir‡…‚ssrrQr…†‚rvtrvyyvt‡uh‡

9r…7ˆqr†…h‡…rtry‡qvr@v“ryurv‡rv†ir†‚qr…rqrShu€rqvrW‚…hˆ††r‡ “ˆtrˆqqvrs+…qvr7rh…irv‡ˆtqr…ir†‚qr…††pu+‡“r†r…‡rQr…†‚rqh‡r ˆqQr…†>yvpuxrv‡†ƒ…‚svyrir…rpu‡vt‡rT‡ryyrtr€6††6i†6‡“r ˆq"9r…7ˆ

5. Tätigkeitsbericht 1997/1998 des EDSB 34

qr†…h‡…rtry‡qr†rv‡r…rqvrWr…h‡‚…‡ˆts+…qr9h‡r†puˆ‡“qrFh‡hy‚tqr…“ˆ r…sh††rqr9h‡rˆqqr…r6ˆsirhu…ˆt†s…v†‡rqh†6ˆ†xˆs‡†…rpu‡qvr9h‡r irxh‡thirqvrP…thv†h‡v‚ˆqqr7r‡…vriqr…hˆ‡‚€h‡v†vr…‡rT’†‡r€rqr† @vqtQr…†‚hyh€‡r†ˆqqr…Qr…†‚hyqvr†‡rqr…7ˆqr†‰r…hy‡ˆtqvraˆ†h€ €rh…irv‡€v‡qrir‡rvyvt‡r7ru>…qrˆqqvr9h‡r†vpur…urv‡

9vr7rh…irv‡ˆtqr…Br†ˆqurv‡†qh‡rvqr…7ˆqr†‰r…hy‡ˆt

Die Bearbeitung der Gesundheitsdaten in der Bundesverwaltung ist wegen deren be- sonderen Schutzwürdigkeit im Bundespersonalgesetz vorzusehen. Dabei muss im formellen Gesetz die datenschutzverantwortliche Bundesstelle namentlich bezeichnet, auf den vertraulichen Charakter der Gesundheitsdaten hingewiesen und die Datenbe- kanntgabe innerhalb und ausserhalb der Bundesverwaltung geregelt werden. Die neue Bestimmung muss in Anlehnung an die Verordnung über den ärztlichen Dienst der allgemeinen Bundesverwaltung formuliert werden, ohne jedoch auf das dort vor- gesehene, datenschutzrechtlich bedenkliche Einsichtsrecht des Dienststellenleiters in die Gesundheitsdaten seiner Mitarbeiter Bezug zu nehmen. Wir haben vorgeschla- gen, diese Bestimmung bei der nächsten Revision der genannten Verordnung zu streichen.

Des weiteren ist die Datenbekanntgabe an Amtsstellen ausserhalb der Bundes- verwaltung und an Gerichten primär vom schriftlichen Einverständnis der betroffenen Person abhängig zu machen. Erst subsidiär darf das Eidg. Finanzdepartement, nach Vornahme einer Interessenabwägung, den ärztlichen Dienst zur Datenbekanntgabe ermächtigen. Die Interessenabwägung kann dann erfolgen, wenn der Datenempfän- ger glaubhaft macht, dass die betroffene Person die Einwilligung verweigert oder die Bekanntgabe sperrt, um ihm die Durchsetzung von Rechtsansprüchen oder die Wahrnehmung anderer schutzwürdigen Interessen zu verwehren; der betroffenen Person ist vorher, wenn möglich, Gelegenheit zur Stellungnahme zu geben. Sie muss auf jeden Fall über die Ermächtigung informiert werden.

Wir haben für die Bearbeitung der Gesundheitsdaten in der Bundesverwaltung fol- gende Regelung vorgeschlagen:

9vrBr†ˆqurv‡†qh‡rˆqqvr€rqv“vv†pur6x‡rqr†7ˆqr†ƒr…†‚hy†r…qr irv€6…“‡yvpur9vr†‡qr…7ˆqr†‰r…hy‡ˆthˆsirhu…‡Tvr†vq‰r…‡…hˆyvpu“ˆir uhqry

T‚sr…r†s+…qvr7rˆ…‡rvyˆtqr…6†‡ryyˆt†Wr…†vpur…ˆt†‚qr…9vr†‡‡hˆtyvpuxrv‡ ‰‚66…‡r…‚qr…7rqvr†‡r‡r‚qr…s+…qvrT‡ryyˆthu€r“ˆ6†ƒ…+purhˆ†qr€ 9vr†‡‰r…u6y‡v†r…s‚…qr…yvpuv†‡xhqr…6…“‡yvpur9vr†‡qr…7ˆqr†‰r…hy‡ˆtrvr… v‡r…r††vr…‡r9vr†‡†‡ryyr+ir…qvrTpuyˆ††s‚ytr…ˆtrhˆ†6…“‡yvpurAr†‡†‡ryyˆtr 6ˆ†xˆs‡trir

9vr

7rxh‡thir‰‚Br†ˆqurv‡†qh‡rˆq€rqv“vv†pur6x‡rhhqr…r9vr†‡ †‡ryyrqr…7ˆqr†‰r…hy‡ˆt‚qr…hˆ††r…uhyiqr…7ˆqr†‰r…hy‡ˆtˆqhBr…vpu‡r v†‡ˆ…€v‡†pu…vs‡yvpur…@vvyyvtˆtqr†ir‡…‚ssrr66…‡r…†‚qr…7rqvr†‡r‡rtr† ‡h‡‡r‡

5. Tätigkeitsbericht 1997/1998 des EDSB 35

Xvyyvt‡qvrir‡…‚ssrrQr…†‚vpu‡vqvr9h‡rirxh‡thirrv†‚xhqr…6…“‡yvpur 9vr†‡qr…7ˆqr†‰r…hy‡ˆt‰‚€@vqtAvh“qrƒh…‡r€r‡“ˆ…9h‡rirxh‡thir r…€6pu‡vt‡r…qr9vr@…€6pu‡vtˆtv…q‰r…rvtr…‡r)

qr…7rqvr†‡r‡r+ir…qr6ˆ†xˆs‡‰r…yht‡v…qrv+ir…vrtrqr†D‡r…r††r hqr…Brurv€uhy‡ˆtuh‡‚qr… †vrqvrWr…hy‡ˆtvqr…9ˆ…pus+u…ˆtvu…r…6ˆsthirr†r‡yvpuirrv‡…6pu‡v tr+…qr‚qr… r†>ssr‡yvpurD‡r…r††r‰r…yhtr

4.4. Publikation von Sonderprämien und Beförderungen in der Bundesverwaltung

9vrh€‡†v‡r…r7rxh‡€hpuˆt‰‚T‚qr…ƒ…€vrˆq7rs…qr…ˆtrqˆ…pu7ˆ qr†‚…thrtvy‡hy†rv“ryshyyrv†r7rxh‡thir‰‚Qr…†‚rqh‡rT‚‚uyT‚qr… ƒ…€vrhy†hˆpu7rs…qr…ˆtrqB…sr€v‡@vvyyvtˆtqr…ir‡…‚ssrrQr…†‚r h€‡†v‡r…ƒˆiyv“vr…‡r…qr@vrtr†r‡“yvpurB…ˆqyhtrv†‡irv€W‚…yvrtrqr…@vvy yvtˆtqr…ir‡…‚ssrrQr…†‚vpu‡r…s‚…qr…yvpu

Ein Bundesamt hat uns die Frage gestellt, ob die amtsinterne Bekanntmachung der Identität der Empfänger von Sonderprämien sowie der beförderten Mitarbeiter mit dem Datenschutz vereinbar sei. Wir haben diesbezüglich wie folgt Stellung genom- men: Das Bundesgesetz über den Datenschutz setzt für die Bekanntgabe von Perso- nendaten durch Bundesorgane das Bestehen von gesetzlichen Grundlagen voraus. Ausnahmsweise dürfen Bundesorgane u. a. dann Personendaten ohne gesetzliche Grundlage bekanntgeben, wenn die betroffene Person eingewilligt hat oder die Einwil- ligung nach den Umständen vorausgesetzt werden darf. Die durch die betroffene Per- son genehmigte Publikation hat ferner nur einzelfallweise zu erfolgen. Die betroffene Person kann jedoch ihre Einwilligung für mehrere Bekanntgaben erteilen, wenn die Umstände der Bekanntgabe ihr klar ersichtlich sind und es sich um einen konkreten Fall handelt. Eine blindlings erteilte «Globalermächtigung» genügt dagegen nicht. Aufgrund des besonderen Seltenheitscharakters der Sonderprämie ist deren Publika- tion als Bekanntgabe im Einzelfall zu betrachten. Für die Publikation der Identität des Prämienempfängers, des Grundes der Ausrichtung sowie deren Betrag ist somit des- sen Einwilligung erforderlich. Liegt letztere nicht vor, so darf eine Publikation nur auf- grund einer gesetzlichen Grundlage auf Verordnungsstufe erfolgen. Für die Publikation der Beförderungen gelten die gleichen Voraussetzungen wie für die Publikation der Sonderprämien. Die Bekanntgabe erfolgt lediglich innerhalb der entsprechenden Verwaltungseinheit und nur zweimal jährlich. Die Bekanntgabe der Beförderungen ist demnach sowohl in ihrer Häufigkeit als auch räumlich klar begrenzt. Die Einwilligung der betroffenen Personen wird also für einen konkreten Bekanntgabe- fall erteilt. Ohne die Einwilligung darf die Bekanntgabe der Beförderungen nur mit ei- ner gesetzlichen Grundlage erfolgen.

4.5. Die Weitergabe von Sozialversicherungsdaten an Betreibungsbehörden

9vr7r‡…rviˆt†iru…qr‚yyrhˆst…ˆqrvr…rˆr7r†‡v€€ˆtv€TpuFBhˆpu hˆsT‚“vhy‰r…†vpur…ˆt†qh‡r“ˆt…rvsrxrT‚rv‡qvrT‚“vhy‰r…†vpur…ˆt†tr †r‡“triˆtwrq‚puxrvrhˆ†q…Bpxyvpur7rxh‡thir‰‚9h‡rr…yhˆi‡qB…srxrvr 9h‡rh7r‡…rviˆt†iru…qrrv‡r…tryrv‡r‡r…qr

5. Tätigkeitsbericht 1997/1998 des EDSB 36

Wir haben zur vorliegenden Problematik mehrere Stellungnahmen verfasst und möch- ten insbesondere auf unser Gutachten im Anhang zu diesem Bericht verweisen (vgl. S. 104 Anhang).In der Zwischenzeit hat das Bundesgericht die Weitergabe von Sozi- alversicherungsdaten an Betreibungsbehörden als zulässig erklärt.

4.6. Öffnen privater Post durch den Arbeitgeber

9vrh€6…irv‡†ƒyh‡“r€ƒshtrrQ…v‰h‡ƒ‚†‡rvr†6tr†‡ryy‡rqr…7ˆqr†‰r…hy‡ˆt trvr††‡ˆrvtr†pu…x‡rTpuˆ‡“9vrƒ…v‰h‡rIh‡ˆ…rvr…Q‚†‡†rqˆt€ˆ††wrq‚pu xyh…r…xrih…†rvXv…qhˆsqr€aˆ†‡ryyp‚ˆ‰r…‡ˆ…qr…Ih€rqr…6q…r††r‰‚…htr †‡ryy‡v†‡qr…ƒ…v‰h‡r8uh…hx‡r…qr…Trqˆtvpu‡r…†vpu‡yvpu

Das Eidg. Finanzdepartement hat uns die Frage unterbreitet, wie die private von der geschäftlichen Post zu unterscheiden und zu handhaben sei. Wir haben diese Frage wie folgt beantwortet: Die private Post geniesst uneingeschränkten Schutz (sog. Post- geheimnis). Die private Post ist demzufolge ungeöffnet an die adressierte Person wei- terzuleiten. Wird private Post durch Drittpersonen trotzdem geöffnet, so liegt eine wi- derrechtliche Persönlichkeitsverletzung vor. Letztere kann sowohl verwaltungs- (Art. 25 DSG) als auch strafrechtlich (Art. 179 StGB) verfolgt werden. Besonders persön- lichkeitsgefährdend ist das Einscannen privater Post, da daduch systematische, wi- derrechtliche Datenbekanntgaben an Dritte stattfinden können. Als Privatpost gilt eine Sendung, bei der erkennbar ist, dass sie einem Bediensteten nicht in amtlicher Eigen- schaft, sondern als Privatperson zugestellt worden ist. Anhaltspunkte für Privatpost sind:

• besondere Vermerke wie «privat, persönlich, eigenhändig»;
• die Art der Sendung (Todesanzeige, adressierte Zeitung oder Zeitschrift) oder äussere Merkmale (Kleinformate, farbiges Papier, Postkarten);
• an einen Bediensteten adressierte Militärpost.

Die Anschrift «Herr X, Dienststelle Y», lässt somit erst dann auf den persönlichen In- halt schliessen, wenn dies durch einen Zusatz (persönlich, privat, c/o, usw.) zum Aus- druck gebracht wird. Das blosse Voranstellen des Namens genügt nicht, um zu zei- gen, dass die Sendung einem Bediensteten als Privatperson zugestellt worden ist (BGE 114 IV 16). Bestehen Zweifel über den Charakter der Sendung, so wird sie nicht geöffnet, sondern mit einem Begleitzettel dem Adressaten ausgehändigt. Dieser muss auf dem Begleitzettel unverzüglich rückmelden, welchen Charakter die Sendung hat, und allfällige Amtsakten registrieren lassen.

Q…v‰h‡ir…rvpu

4.7. Unzulässige Bekanntgabe von Personendaten im Bewerbungsverfahren

9r…@€ƒstr…‰‚7rr…iˆt†ˆ‡r…yhtrqh…sQr…†‚rqh‡rhˆ†qr7rr…iˆt† ˆ‡r…yhtrhqrhx‡ˆryyr6…irv‡trir…vpu‡irxh‡trir9vr†tvy‡v†ir†‚qr…r qhrqˆ…puqvr9h‡rirxh‡thirqr…6…irv‡ru€r…irhpu‡rvyvt‡v…q

Ein Arbeitnehmer hat sich für eine andere Stelle beworben. Das Bewerbungsdossier enthielt, neben den üblichen Unterlagen, auch Kundenschreiben aus der aktuellen

5. Tätigkeitsbericht 1997/1998 des EDSB 37

Arbeitstätigkeit, die als Referenzschreiben gedacht waren. Letztere hätten aber aus der Sicht der Geheimhaltungspflicht nur anonymisiert herausgegeben werden dürfen. Die Empfängerin ist als Anwältin tätig und wurde vom Bewerber aufgefordert, die Un- terlagen vertraulich zu behandeln. Trotz dieser Aufforderung informierte sie den aktu- ellen Arbeitgeber über den Inhalt des Bewerbungsdossiers. Letzterer setzte den Ar- beitnehmer unter Druck und veranlasste ihn, die aktuelle Stelle zu künden. Nachdem wir von diesem Fall benachrichtigt wurden, haben wir die potentielle Arbeitgeberin ü- ber den Umgang mit Personendaten im Arbeitsverhältnis wie folgt informiert:

Nach dem Verhältnismässigkeits- und Zweckmässigkeitsprinzip darf der Arbeitgeber Daten über den Arbeitnehmer nur bearbeiten (insb. bekanntgeben), soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertra- ges erforderlich sind. Von diesen Grundsätzen darf insbesondere dann nicht abgewi- chen werden, wenn dadurch der Arbeitnehmer benachteiligt wird. Die Bekanntgabe von Personendaten aus den Bewerbungsunterlagen durch die potentielle Arbeitgebe- rin am aktuellen Arbeitgeber war für die Durchführung des Arbeitsverhältnisses bzw. des Bewerbungsverfahrens nicht erforderlich und hat der betroffenen Person einen beträchtlichen Schaden zugerichtet. Die Datenschutzverletzung ist um so gravierender einzustufen, als die Datenbekanntgabe gegen den ausdrücklichen Willen der betrof- fenen Person und ohne schützenswerten Rechtfertigungsgrund erfolgt ist. Zudem ist von einer Anwältin zu erwarten, dass sie mit Personendaten von Dritten sehr sorgfältig und zurückhaltend umgeht. Bei einer solchen Sachlage kann die betroffene Person von den Ansprüchen des Persönlichkeitsrechtes (insbesondere Schadenersatzan- spruch) Gebrauch machen. Diese Ansprüche können sowohl vor dem Zivilrichter als auch vor dem Arbeitsgericht geltend gemacht werden können. Das Verfahren beim Arbeitsgericht läuft rasch und kostenlos ab.

4.8. Überwachung der Arbeitnehmer am Arbeitsplatz

9r…6…irv‡trir…uh‡†vpuirvqr…5ir…hpuˆt†rvr†Qr…†‚hy†h‰r…†puvrqrrtr †r‡“yvpurGrv‡ƒyhxr“ˆuhy‡r@…qh…sv†ir†‚qr…rvpu‡‚urSrpu‡sr…‡vtˆt† t…ˆqvqvrQ…v‰h‡†ƒu…rqr…6…irv‡ru€r…rvt…rvsr6y†Srpu‡sr…‡vtˆt†t…Bqrtry ‡rqvrTvpur…urv‡†ˆq‚qr…qvrGrv†‡ˆt†x‚‡…‚yyr9r…6…irv‡trir…uh‡Bir…qvr†qvr ir‡…‚ssrrQr…†‚rBir…qvr5ir…hpuˆt‰‚…ttvt“ˆvs‚…€vr…rCvtrtrv†‡r… irv€W‚…yvrtrrvr†x‚x…r‡rWr…qhpu‡r†rvr†…rpu‡†vq…vtrWr…uhy‡r†ir…rpu ‡vt‡‚ur‰‚…ur…vtrDs‚…€h‡v‚qr…ir‡…‚ssrrQr…†‚7rh…irv‡ˆtr“ˆ7rrv††v pur…ˆt†“rpxr‰‚…“ˆru€rDqvr†r€Ahyyqh…sqvr7rh…irv‡ˆtˆ…ˆ‡r…7rv“ˆt i“€v‡@vvyyvtˆtqr…“ˆ†‡qvtrT‡…hswˆ†‡v“iru…qrr…s‚ytr9vr†rSrtryˆttvy‡ †‚‚uysB…qrssr‡yvpurhy†hˆpusB…qrQ…v‰h‡ir…rvpu

Wir sind von verschiedenen Seiten gebeten worden, uns zur Frage der Zulässigkeit der Überwachung der Arbeitnehmer am Arbeitsplatz zu äussern. Wir sind zu folgen- den Schlussfolgerungen gekommen (siehe dazu auch Tätigkeitsbericht 1996/97, S. 26 ff.): Zur Privatsphäre der Arbeitnehmer am Arbeitsplatz gehören u. a. nichtgeschäftli- ches Telefonieren, Benutzen des Internet oder Versenden von E-Mails (elektronische Post). Ohne ausdrückliche Einschränkung oder Verbot privater Tätigkeit am Arbeits- platz darf der Arbeitnehmer davon ausgehen, dass dies im Rahmen des Verhältnis- mässigen zulässig ist und keine Überwachung vorgenommen wird. Wird hingegen die private Tätigkeit am Arbeitsplatz eingeschränkt oder verboten, so darf deren Überwa- chung nur unter Erfüllung folgender Voraussetzungen erfolgen: Als erstes ist das ge- samte Personal über die Einschränkung bzw. das Verbot nichtgeschäftlicher Tätigkei-

5. Tätigkeitsbericht 1997/1998 des EDSB 38

ten am Arbeitsplatz explizit zu informieren. Dies kann durch interne Weisungen über die Benutzung des Telefons, der elektronischen Post oder des Internet am Arbeits- platz geschehen. Diese vorgängige Information ist aus Transparenzgründen erforder- lich. Sie leitet sich aus dem Prinzip von Treu und Glaube ab und ermöglicht erst die Ausübung des Auskunftsrechtes. Die Überwachung der Privatsphäre des Arbeitneh- mers am Arbeitsplatz kann überdies nur aus Sicherheits- und/oder Leistungskontroll- gründen erfolgen. Sie darf lediglich zum Zwecke der Durchführung des Arbeitsvertra- ges vorgenommen werden und muss verhältnismässig sein. Die Verhaltenskontrolle ist hingegen nicht gestattet. Liegen konkrete Anhaltspunkte (etwa die Adressen der abgerufenen Internet-Seiten, die E-Mail-Adressen oder die gewählten Telefonnummer) einer missbräuchlichen, pri- vaten Tätigkeit am Arbeitsplatz vor, so hat der Arbeitgeber das gesamte Personal der betreffenden Abteilung darüber zu informieren. Dabei ist das Personal darauf aufmerksam zu machen, dass bei weiteren Missbräu- chen Aufzeichnungen und Auswertungen vorgenommen und die entsprechenden Personen disziplinarisch verfolgt werden können. Liegt andererseits ein konkreter Verdacht für ein rechtswidriges, d. h. nicht bloss den Arbeitsvertrag (und entsprechende Weisungen) verletzendes Verhalten vor, wird der Schutz der Privatsphäre zurückweichen müssen. Wird der Mitarbeiter des Betruges, der Rufschädigung oder eines anderen Deliktes verdächtigt, so ist die zuständige Strafjustizbehörde auf Gesuch des Arbeitgebers berechtigt, Bearbeitungen (etwa Te- lefonaufnahmen, Einsichtnahmen im elektronischen Postfach, usw.) ohne vorherige Information der betroffenen Person zum Zweck der Beweissicherung vorzunehmen. Solche Überwachungen stellen weder Leistungs- noch Sicherheitskontrollen dar. Sie rechtfertigen sich, wenn - aufgrund einer Interessenabwägung durch die zuständige Strafjustizbehörde - ein überwiegendes öffentliches oder privates Interesse des Ar- beitgebers festgestellt wird. Die erhobenen Personendaten sind vertraulich zu behan- deln und müssen vernichtet werden, sobald der Zweck der Aufnahme erfüllt ist.

4.9. Datenschutzaspekte bei Firmenverkäufen

@vr9h‡rirxh‡thirv€Shu€r‰‚Av…€r‰r…xˆsrqh…sˆ…€v‡@vvyyvtˆtqr… ir‡…‚ssrrQr…†‚r‰‚…tr‚€€rr…qr@†qB…srˆ…qvrwrvtrQr…†‚rqh‡r irxh‡trtrirr…qrqvrsB…qvr5ir…ƒ…Bsˆtqr…“ˆBir…ru€rqrAv…€h‡vt †vqT‚yyhˆ†ir†‚qr…rB…Bqr‰‚qr…Ds‚…€h‡v‚ˆq@vvyyvtˆtqr…ir‡…‚ssr rQr…†‚rhitr†rurr…qr†‚v†‡qvr7rxh‡thirˆ…vh‚’€v†vr…‡r…A‚…€ €tyvpu

Wir wurden von einer Privatfirma ersucht, uns über die datenschutzrechtlichen Aspek- te bei Firmenverkäufen zu äussern. Im Arbeitsverhältnis darf der Arbeitgeber Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsver- hältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Jegli- ches Beschaffen, Aufbewahren und Weitergeben von Daten über den Arbeitnehmer, die keinen Arbeitsplatzbezug aufweisen, verstösst gegen das Zweckbindungs- und Verhältnismässigkeitsprinzip. Die Datenbekanntgabe im Rahmen eines Firmenverkau- fes weist - im Unterschied etwa zur Datenbeschaffung anlässlich eines Bewerbungs- verfahrens - keinen Bezug zum Arbeitsverhältnis auf. Sie erfolgt lediglich zum Zwecke der Prüfung des Kaufobjektes durch den Kaufinteressenten. Die Datenbekanntgabe darf somit nur mit Einwilligung der betroffenen Personen erfolgen. Erst nach erfolgter Information können sich nämlich die betroffenen Personen gegebenenfalls gegen die

5. Tätigkeitsbericht 1997/1998 des EDSB 39

Datenbekanntgabe aussprechen oder ihr Auskunftsrecht beim neuen Dateninhaber geltend machen. Sofern die Einwilligung vorliegt, dürfen Personendaten nur insoweit bekanntgegeben werden, als sie zur Prüfung des Kaufobjektes benötigt werden. Der Umfang der Datenbekanntgabe hängt vom zeitlichen Ablauf des Geschäftes und von der Stellung der betroffenen Personen in der zu übernehmenden Firma ab. In frühen Stadien der vorvertraglichen Verhandlungen sind die Daten in anonymisierter Form bekanntzugeben. Die vollständigen Personaldossiers dürfen frühestens unmittelbar vor Vertragsabschluss bekanntgegeben werden. Inwieweit beim Firmenverkauf die personenbezogene Überprüfung notwendig und die zeitliche Geschäftsabwicklung sowie die Stellung der betroffenen Personen (Kaderpersonal, qualifiziertes und unqua- lifiziertes Personal) im zu übernehmenden Unternehmen zu berücksichtigen sind, ist von Fall zu Fall zu beurteilen. Soll die Datenbekanntgabe wegen Gefährdung des Vertragsabschlusses ohne Infor- mation und Einwilligung der betroffenen Personen stattfinden, so ist diese nur in ano- nymisierter Form möglich. Kommt das Kaufgeschäft nicht zustande, so sind die be- kanntgegebenen Personalunterlagen zurückzugeben und allfällige Kopien zu vernich- ten. Werden die Personendaten ins Ausland bekanntgegeben, so sind zusätzliche Regeln zu berücksichtigen. Personendaten dürfen nicht ins Ausland bekanntgegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine dem schweizerischen Datenschutz gleichwerti- ge Regelung fehlt. Müssen Personendaten in Staaten ohne gleichwertigen Daten- schutz bekanntgegeben werden, so muss ein gleichwertiger Datenschutz mit Hilfe ei- nes Vertrages gewährleistet werden. Werden zudem Datensammlungen ins Ausland übermittelt, so muss dies dem Eidg. Datenschutzbeauftragten vorher gemeldet wer- den, wenn für die Bekanntgabe keine gesetzliche Pflicht besteht und die betroffenen Personen davon keine Kenntnis haben. Bei der Bekanntgabe von Personendaten im Rahmen von Firmenverkäufen sind ne- ben den rechtlichen Grundsätzen auch die technischen und organisatorischen Mass- nahmen zu berücksichtigen. Die Vertraulichkeit, die Verfügbarkeit und die Richtigkeit der Daten sollen gewährleistet werden. Es soll insbesondere verhindert werden, dass bei der Datenbekanntgabe sowie beim Transport von Datenträgern die Daten unbe- fugt gelesen, kopiert, verändert oder gelöscht werden. Des weiteren soll gewährleistet werden, dass nur die berechtigten Personen auf die bearbeiteten Personendaten Zugriff haben.

$ Wr…†vpur…ˆt†r†r

T‚“vhy‰r…†vpur…ˆtr

5.1. Merkblatt und Einwilligungsklauseln

9vriv†ur…vtrF‚“rƒ‡v‚qr…Hr…xiy‡‡r…ˆqqr…@vvyyvtˆt†xyhˆ†ryv€Q…v‰h‡‰r…†v pur…ˆt†ir…rvpuˆ…qrvqr…Q…h‘v†rv‡r…r‡vpxry‡D†ir†‚qr…r†vq7r†‡…riˆ trv€BhtqvrU…h†ƒh…r“qr…9h‡rirh…irv‡ˆtsB…qvrWr…†vpur…‡r“ˆ‰r…ir† †r…T‚r…qrr‡hWr…†vpur…ˆt†tr†ryy†puhs‡r‰r…€ru…‡hˆstrs‚…qr…‡sB…wrqrrv “ryr6ˆ†xˆs‡irv˜…“‡rTƒv‡yr…r‡p‰‚…ur…rvr†pu…vs‡yvpurW‚yy€hpu‡irv€Wr…†v pur…‡rrv“ˆu‚yr

5. Tätigkeitsbericht 1997/1998 des EDSB 40

Bisher informierten die Versicherungen ihre Kunden - wenn überhaupt - durch ein Merkblatt über die Datenbearbeitung. Zusätzlich haben sich einige Versicherungen bereit erklärt, für jedes Ereignis (Antrag, Anmeldung, Unfall, Leistung, Schaden etc.) jeweils eine Einwilligung bei den Versicherten einzuholen. Es wird auf die sehr umfas- senden Ausführungen in unseren bisherigen Tätigkeitsberichten verwiesen (vgl. 3. Tätigkeitsbericht S. 42 und 4. Tätigkeitsbericht S. 34). Das Merkblatt hat sich in der Praxis bis anhin bewährt. Es gibt den Versicherten einen Einblick in die für Aussenstehende sehr undurchschaubaren Datenflüsse im Versiche- rungswesen. Insbesondere werden die Kunden in der Regel auf das ihnen zustehen- de Auskunftsrecht hingewiesen. Die Einwilligungsklauseln konnten den Anforderungen an die Transparenz nicht ge- recht werden. Die in der Praxis immer noch gängigen „Blankovollmachten“, welche in der Regel im Anfangsstadium eines Vertrages verlangt werden und der Versicherung sämtliche zukünftige Datenbearbeitungen erlauben sollen, sind aus Sicht des Daten- schutzes nichtig. Diejenigen Einwilligungsklauseln, welche sich auf ein einzelnes Versicherungsereignis beschränken, informieren die Versicherten immer noch nicht hinreichend über die Da- tenbearbeitung. Auch wenn der Kunde einwilligt, dass die Versicherung z. B. nur Ab- klärungen im Rahmen eines Versicherungsantrags machen darf, wird er über die Nachforschungen im Detail nicht in Kenntnis gesetzt. Denn die Einwilligung erlaubt den Versicherungen, bei mehreren Dritten (Ärzte, Spitäler etc.) Auskünfte einzuholen, ohne dass der Versicherte dies weiss. Hingegen kommt eine von Versicherungsspezialisten ausgearbeitete «Datenschutz- anweisung» dem Bedürfnis nach vermehrter Transparenz im Versicherungswesen sehr entgegen. Auch sie informiert die Versicherten über ihre Rechte umfassend. Zu- dem hat die Versicherungsgesellschaft für jede einzelne Auskunft bei Ärzten, Spitä- lern etc. beim Betroffenen eine schriftliche Vollmacht einzuholen. Allfällige Unterlagen der Versicherung sind ausschliesslich über den Versicherten an die entsprechende Stelle weiterzuleiten. Genauso müssen die verlangten Auskünfte, Berichte und Gut- achten zuerst dem Betroffenen mitgeteilt werden. Erst nachdem dieser vom Inhalt Kenntnis erhalten hat, dürfen die Akten in der Regel nur dem Vertrauensarzt der Ver- sicherung bekanntgegeben werden. Der Vorteil der «Datenschutzanweisung» liegt auf der Hand: Die betroffene Person wird frühzeitig über die jeweilige Datenbearbeitung durch die Versicherung in Kenntnis gesetzt. Sie hat die Möglichkeit, sich rechtzeitig z. B. gegen ein unrichtiges Gutachten zu wehren. Sie kann intervenieren, wenn zwischen Versicherung und Arzt zu viele Ak- ten ausgetauscht werden (Verstoss gegen das Verhältnismässigkeitsprinzip). Sie kann ihren Rechtsvertreter bzw. ihren Arzt um Rat fragen und die ihr zustehenden Rechte wahrnehmen. Die Gefahr einer widerrechtlichen Datenbearbeitung durch die Versi- cherung wird dadurch vermindert. Aus Sicht des Datenschutzes ist die «Datenschutzanweisung» zu begrüssen und ent- spricht den heutigen Informationsbedürfnissen der Versicherten. Die vorliegende Kon- zeption mag - vor allem für die Versicherungen - umständlich erscheinen. Es sind uns jedoch Fälle aus der Praxis bekannt, bei denen dieses Verfahren mit Erfolg und spedi- tiv durchgeführt worden ist. Wir sind zudem überzeugt, dass die Transparenz im Versicherungswesen vor allem durch technische und organisatorische Massnahmen verbessert werden kann, ohne dass dies zu einem administrativem und finanziellem Mehraufwand führen muss.

5. Tätigkeitsbericht 1997/1998 des EDSB 41

5.2. Tendenzen im Sozialdatenschutz

@vr…†rv‡†ru€rqvr6ˆ†thirv€T‚“vhyir…rvpuˆhˆsuhy‡†h€“ˆ6qr…r…†rv‡†uh‡ qr…T‡hh‡v€€r…t…††r…rTpuvr…vtxrv‡rqvr“ˆ†‡“yvpurT‚“vhyx‚†‡r“ˆ‡…htr9r… qhqˆ…pur‡†‡hqrr9…ˆpxqvrF‚†‡rvqrB…vss“ˆirx‚€€ruh‡hˆpu6ˆ†v… xˆtrhˆsqvrQr…†yvpuxrv‡†…rpu‡rqr…T‚“vhyyrv†‡ˆt†r€ƒstr…

Weniger Einnahmen und zusätzliche Ausgaben haben die Finanzhaushalte von Bund und Kantonen in den letzten Jahren in Schwierigkeiten gebracht. Insbesondere ist nicht davon auszugehen, dass die Kosten der Sozialversicherungen und der Fürsorge in den nächsten Jahren zurückgehen werden. Es wird der legitime Ruf laut, verstärkt auf diese Sozialleistungen Zugriff zu bekommen. Wie folgende Beispiele zeigen, hat dies auch Konsequenzen auf den Datenschutz. Im Gesundheitswesen führt der Kostendruck immer häufiger zu Datenschutzver- stössen. Eine Krankenkasse versuchte etwa, teure Versicherte auf andere Kassen «abzuschieben». Betreibungs- und Steuerbehörden wollen vermehrt auf Daten von Sozialversiche- rungsbezügern zugreifen können. Für uns kommt eine Weitergabe dieser Daten nur - wenn überhaupt - in Betracht, wenn dies ein formelles Gesetz erlaubt. Fürsorgebehörden gelangen oft an andere Institutionen (Krankenkassen etc.), ohne vorher die Einwilligung beim Sozialhilfeempfänger eingeholt bzw. bei diesem vorher die nötigen Abklärungen gemacht zu haben. Auf politischer Ebene hat sich 1997 vor allem auf Gemeindeebene einiges getan, um den «Sozialmissbrauch» zu bekämpfen. In der Stadt Bern wollte ein Politiker ein Gra- tistelefon für Bürger einrichten, welche anonym z. B. den Nachbarn wegen «Sozial- missbrauchs» hätten denunzieren können. In der Stadt Zürich wurde die Einführung von «Sozialdetektiven» vom Zürcher Gemeinderat nur knapp abgelehnt. Die gegenwärtige Entwicklung im Sozialbereich ist aus Sicht des Datenschutzes nicht zu begrüssen. Es ist unbestritten, dass die Behörden Mittel und Wege suchen müs- sen, um die Kosten im Sozialbereich in den Griff zu bekommen bzw. «Sozialmiss- brauch» zu bekämpfen. Die dafür vorgesehenen Instrumente müssen jedoch geeignet und erforderlich sein. Die beiden Vorlagen aus Bern und Zürich z. B. würden einen schwerwiegenden Eingriff in die Persönlichkeitsrechte der betroffenen Bürger bedeu- ten. Um «Sozialmissbrauch» zu verhindern, müssten vorerst weit weniger eingreifen- de Massnahmen untersucht werden (vermehrte Sozialarbeit, intensivere Abklärungen, Aufklärung durch Merkblätter etc.). Im übrigen müsste vorher geprüft werden, was un- ter «Sozialmissbrauch» zu verstehen ist und in welchem Umfang er tatsächlich statt- findet.

5.3. Die Aufsicht des BSV in Fragen des Datenschutzes

Xvrqr…u‚y‡uhirv…vqr…Wr…thtrurv‡V†vpur…urv‡rir‡…rssrqqvr6ˆs†vpu‡qr† @9T7Bir…7ˆqr†‚…thrˆqqr…rWr…uy‡v†“ˆ…Aˆx‡v‚rvr…6ˆs†vpu‡†iru…qr sr†‡tr†‡ryy‡Dqvr†r€7rv‡…htv…qqh…tryrt‡rypurqvrˆ†r…r†@…hpu‡r†rv“vt €tyvpurD‡r…ƒ…r‡h‡v‚qr…rv†puytvtrW‚…†pu…vs‡rv†‡Tvryˆs‡qh…hˆsuvhˆ†qh†† qvrirvqr6ˆs†vpu‡†x‚€ƒr‡r“rr…t“rqˆqrirrvhqr…ir†‡rur€B††r rvyvurwrrvy†ˆ‡r…†puvrqyvpurAˆx‡v‚r“ˆx‚€€r

Die Problemstellung soll anhand des folgenden Beispiels erläutert werden: Die Kran- kenversicherer nach KVG sind nicht bloss gemäss DSG, sondern auch gemäss KVG als Bundesorgane zu betrachten. Es ergibt sich daraus - zumindest auf den ersten

5. Tätigkeitsbericht 1997/1998 des EDSB 42

Blick - das Problem, dass die Versicherer einerseits der Aufsicht des BSV und ande- rerseits der Aufsicht EDSB unterstellt sind. Eine «spontane» Interpretation liefe darauf hinaus, eine Trennung nach Aufsichts- bereichen vorzunehmen, wonach der EDSB die Einhaltung von Datenschutzvor- schriften, das BSV dagegen die Einhaltung aller übrigen Vorschriften überwacht. Die- se Interpretation hält einer näheren Prüfung aus verschiedenen Gründen nicht stand. Nach dem Wortlautder für Bundesrat bzw. BSV massgeblichen Aufsichtsnorm (Art. 21 Abs. 2 KVG) hat diese Aufsicht die einheitliche Anwendung des Gesetzes zum Gegenstand. Datenschutzvorschriften wie beispielsweise die Schweigepflicht nach Art. 83 KVG sind also gerade nicht ausgenommen. Weiter gilt, dass Datenschutzvor- schriften verstreut in verschiedensten Gesetzen zu finden sind, deren Vollzug jeweils bloss einem Fachamt wie dem BSV genügend bekannt sein dürfte. Sodann sind im DSG Grundsätze wie Verhältnismässigkeit oder Treu und Glauben festgeschrieben, sie gelten aber umfassend für das Verwaltungshandeln. Die Einhaltung solcher Grundsätze kann gar nicht isoliert betrachtet werden, denn die Grundsätze stehen immer im Zusammenhang mit dem Vollzug bestimmter anderer Regelungen. Vor allem aber ist die Aufsicht des BSV eine andere als diejenige des EDSB. Dies zeigt sich insbesondere, wenn man betrachtet, welche Weisungsrechte in den beiden Aufsichtsarten enthalten sind. Zur Aufsicht im traditionellen Sinne gehört es, dass das Aufsichtsorgan Weisungen gegenüber einzelnen Vollzugsorganen erteilen kann. Hin- gegen kann der EDSB bloss Empfehlungen abgeben, die nicht einmal direkt rechts- verbindlich sind. Noch klarer wird der Unterschied, wenn man die Kompetenz zum Verfassen von allgemeingültigen Weisungen betrachtet. Dem EDSB steht eine solche Kompetenz nicht zu, während das BSV nicht bloss gegenüber einzelnen, sondern ge- genüber der Gesamtheit der Vollzugsorgane Weisungen in Form von Kreisschreiben erlassen kann. Diese Möglichkeit genereller Anordnungen muss auch im Bereiche von Datenschutzfragen bestehen bleiben. Schliesslich kann es ja nicht im Sinne des DSG

• durch welches ja die Aufsicht durch den EDSB eingeführt wurde - sein, in Daten- schutzfragen jede allgemeingültige Regelung auf der Stufe von Kreisschreiben auszu- schliessen. Im übrigen existieren derartige Kreisschreiben seit Jahren auch in daten- schutzrechtlich relevanten Bereichen, und es werden auch heute noch neue erlassen. Das BSV behält demnach weiterhin die umfassende Aufsicht über die Vollzugsorga- ne. Daneben steht ergänzend die Aufsicht durch den EDSB, welcher dem BSV (oder anderen Fachämtern) selbstverständlich in Datenschutzfragen auch beratend bei- steht. Wir haben das BSV mehrmals über unsere Folgerungen informiert. Schliesslich sei noch erwähnt, dass das Bundesamt für Privatversicherungswesen seine Aufsicht gegenüber den Privatversicherungen auch in Fragen des Daten- schutzes umfassend anerkannt hat.

5.4. Das «AHV-Spiegelregister»

6s…htr‰‚7B…tr…irvqr6ˆ†tyrvpu†xh††r†‚yyrqˆ…puqh†@v…vpu‡rrvr† M6CWTƒvrtry…rtv†‡r…†Nir†puyrˆvt‡r…qrXr…qrqvrW‚…thirqr†9h‡r†puˆ‡“r† rvtruhy‡rv†‡trtrqvr@vsBu…ˆtqr†MTƒvrtry…rtv†‡r…†Nvpu‡†rv“ˆrqr

Es finden vermehrt Anfragen von Bürgern bei den AHV-Ausgleichskassen statt. Aus verschiedenen Gründen (splitting etc.) wollen sie Auskunft über ihre einbezahlten AHV-Beiträge. Die Beiträge der Versicherten werden in den individuellen Konten fest- gehalten. Diese Konten enthalten u. a. die folgenden Daten: Name, AHV-Nr., Konto- stand, Beitragszeit, Arbeitgeber.

5. Tätigkeitsbericht 1997/1998 des EDSB 43

Die Durchführung der Anfragen gestaltete sich bei den einzelnen Ausgleichskassen z. T. als schwierig und zeitraubend. Aus diesem Grunde wurde vom Bund das Projekt des «AHV-Spiegelregisters» lanciert: Die individuellen Konten sollen bei allen Aus- gleichskassen auf dem Bildschirm eingesehen werden können. Das «Spiegelregister» würde den einzelnen Ausgleichskassen lediglich einen rascheren Zugriff auf die indi- viduellen Konten erlauben als bisher. Konsequenz: Die Versicherten würden über ihre Beitragszahlungen schneller informiert. Wir haben gegen das «AHV-Spiegelregister» grundsätzlich nichts einzuwenden, so- fern das dafür geplante EDV-System die Anforderungen an das DSG erfüllt. Besonde- re Beachtung ist dabei der Datensicherheit, vor allem der Zugriffskontrolle zu schen- ken. Zudem sind wir der Ansicht, dass eine Verordnungsänderung allein für die Errich- tung des «Spiegelregisters» nicht genügt. Immerhin werden Persönlichkeitsprofile be- arbeitet, die den Ausgleichskassen im Abrufverfahren zugänglich gemacht werden sollen. Wir haben daher beantragt, für das «AHV-Spiegelregister» eine gesetzliche Grundlage im AHV-Gesetz zu schaffen.

5.5. Die Weitergabe von Personendaten durch die SUVA

D€Shu€rˆ†r…r…U‡vtxrv‡†‡ryy‡rv…qr†s‡r…rsr†‡qh††qvrTVW6trtrqvr 7r†‡v€€ˆtrqr†9TB‰r…†‡vr††D†ir†‚qr…rˆ…qr“ˆ‰vryr9h‡rˆir…rpu‡vt‡r 9…v‡‡rirxh‡trtrir

Inwieweit die SUVA Daten von Versicherten an Dritte weitergeben darf, ist vor allem eine Frage der Verhältnismässigkeit. Es dürfen demnach nur diejenigen Personenda- ten weitergeleitet werden, die für den jeweiligen Zweck unbedingt erforderlich und ge- eignet sind. Offensichtlich wird diese Prinzip nicht eingehalten, wenn die SUVA Verfügungen er- lässt. Verfügungen (inkl. Begründung) über eine Rente und eine Integri- tätsentschädigung z. B. werden nicht nur dem Versicherten zugestellt, sondern zugleich auch dem Arbeitgeber. Immerhin werden so - unberechtigterweise - Gesund- heitsdaten an die Arbeitgeber weitergeleitet. In einem Fall hat ein Arbeitgeber dieses Wissen missbraucht und sich gegenüber anderen Mitarbeitern abschätzig über den Versicherten geäussert. Genauso sind die Unfallformulare der SUVA und anderer Unfallversicherer nicht mehr mit dem DSG vereinbar. Bei einem Nichtberufsunfall etwa geht den Arbeitgeber weder die Unfallursache noch die Art der Verletzung etwas an (vgl. «Formular Unfallmeldung UVG»). Überhaupt nicht datenschutzkonform sind die SUVA-Unfallformulare für Ar- beitslose. So sind Hinweise über die Arbeitslosigkeit des Versicherten auf einem Apo- thekerschein unnötig. Der Apotheker hat nicht zu wissen, dass der Versicherte zur Zeit erwerbslos ist. Gerade in ländlichen Regionen ist Arbeitslosigkeit immer noch mit dem Verlust von Sozialprestige verbunden und die Anonymität einer Stadt nicht vor- handen. Es ist daher grösste Zurückhaltung mit der Verbreitung von Arbeitslosenda- ten geboten. Im weiteren ist uns aufgefallen, dass die Haftpflichtversicherungen im Rahmen von Regress-Fällen zu viele Daten von der SUVA erhalten. Unseres Erachtens muss der Datenfluss im Unfallversicherungsbereich umfassend analysiert und auf seine Datenschutzkonformität überprüft werden. Es ist insbesonde- re zu untersuchen, ob und inwiefern der extensive Datenaustausch zwischen der SUVA und den Datenempfängern überhaupt noch gerechtfertigt ist.

5. Tätigkeitsbericht 1997/1998 des EDSB 44

5.6. Das Auskunftsrecht im Unfallversicherungsbereich

9h†7ˆqr†tr…vpu‡r‡†puvrqqh††hˆpuVshyy‰r…†vpur…ˆtrvu…rWr…†vpur…‡rqvr 6ˆ†xˆs‡†pu…vs‡yvpuvA‚…€rvr†6ˆ†q…ˆpx†‚qr…rvr…A‚‡‚x‚ƒvrr…‡rvyr€B††r

Eine Unfallversicherung hat sich geweigert, einer Versicherten ihre Unfallakte im Ori- ginal oder als Fotokopie zuzustellen. Statt dessen bekam die Versicherte die Gele- genheit, ihre Akten vor Ort einzusehen. Die Versicherte erhob dagegen Beschwerde bei der Eidgenössischen Daten- schutzkommission. Die Kommission wies die Versicherung an, der Versicherten das Dossier schriftlich zuzustellen. In der Folge gelangte die Unfallversicherung an das Bundesgericht. Dieses bestätigte jedoch das Urteil der Datenschutzkommission. Laut Bundesgericht komme das jüngere Datenschutzgesetz zur Anwendung und nicht die bisherige Regelung in der Unfallversicherungsverordnung. Die Verordnung sieht vor, dass die Versicherten ihre Akten nur am Sitz der Versicherung einsehen können. Hingegen verlangt das neuere Datenschutzgesetz, dass den Versicherten in der Re- gel schriftlich in Form eines Ausdrucks oder einer Fotokopie Auskunft zu gewähren ist.

Q…v‰h‡‰r…†vpur…ˆtr

5.7. Die interne Organisation der privaten Unfallversicherungsgesellschaften

Q…v‰h‡‰r…†vpur…ˆtrvqr…Tpurv“xr†vpuhˆpuhqr…9ˆ…pusBu…ˆtqr…‚iyv th‡‚…v†purVshyy‰r…†vpur…ˆtVWBir‡rvyvtr9r…rHv‡h…irv‡r…ˆ‡r…†‡rurqr… tr†r‡“yvpurTpurvtrƒsyvpu‡hˆpuvr…uhyiqr…Wr…†vpur…ˆt9vrv‡r…rP…thv†h‡v ‚v†‡qhur…†‚“ˆtr†‡hy‡rqh††€vqr†‡r†qr…VWB7r…rvpu‰‚qrhqr…rWr…†v pur…ˆt†“rvtrvhq€vv†‡…h‡v‰r…ˆqƒr…†‚ryyr…Cv†vpu‡tr‡…r‡trsBu…‡v…q 6†‚†‡rir†‡ru‡qvrBrshu…qh††vpu‡ˆ…qvrTpurvtrƒsyvpu‡†‚qr…hˆpuqvr 7r†‡v€€ˆtrqr†9h‡r†puˆ‡“tr†r‡“r†‰r…yr‡“‡r…qr

Im Rahmen einer Aufsichtsbeschwerde beim BSV wurde verlangt, innerhalb einer pri- vaten Unfallversicherung den UVG-Bereich von den anderen Versicherungszweigen organisatorisch zu trennen. Begründet wurde dies vor allem damit, dass u. a. die glei- chen Mitarbeiter der Versicherungsgesellschaft zugleich Zugriff auf UVG-Dossiers und auf Privatversicherungsdossiers derselben Personen hätten. Dies komme einer Ver- letzung der gesetzlichen Schweigepflicht gleich. Zudem sei die Aktenführung in den Dossiers sowie der Austausch der Akten zwischen den einzelnen Dossiers für die Versicherten nicht nachvollziehbar (Verstoss gegen das Transparenzprinzip). Die Ver- sicherung argumentierte, dass die Behandlung von UVG-Dossiers und den anderen Dossiers durch denselben Mitarbeiter schliesslich im Interesse der Kunden sei. Denn ein Sachbearbeiter, der alle Dossiers kenne, sei besser informiert als bloss teil- orientierte Personen. Faktisch gibt es also mindestens keine personelle Trennung zwischen dem UVG-Bereich und den anderen Versicherungszweigen. Wir wurden vom BSV eingeladen, eine Stellungnahme abzugeben, und haben uns wie folgt geäussert: Mitarbeiter, die innerhalb einer privaten Unfallversicherung tätig sind, unterstehen der Schweigepflicht auch innerhalb der Versicherung. Wir gehen nicht davon aus, dass für private Unfallversicherer andere Regeln gelten sollen als etwa für die SUVA. Mitarbeiter derselben Versicherung, die nicht im UVG-Bereich tätig sind, dürften also auch keinen Zugriff auf UVG-Dossiers haben bzw. keine Informatio- nen aus dem Unfallversicherungsbereich erhalten. Werden nun Daten aus einem UVG-Dossier z. B. in ein Haftpflichtdossier - auch innerhalb einer Versicherung - wei-

5. Tätigkeitsbericht 1997/1998 des EDSB 45

tergegeben, ist dies mit der gesetzlichen Schweigepflicht nicht vereinbar. Unseres Er- achtens liegt auch schon eine Verletzung der Schweigepflicht vor, wenn der gleiche Mitarbeiter Akten aus einem UVG-Dossier in ein anderes Dossier legt. Denn es wer- den Informationen aus einem vom Gesetz geschützten Bereich unberechtigterweise herausgegeben. Hingegen ist die Weitergabe (sowie die Beschaffung) von Daten aus Privatversi- cherungs-Dossiers in andere Dossiers nur mit einer spezifischen Einwilligung des Versicherten möglich. Über deren Tragweite muss sich der Versicherte allerdings be- wusst sein. Aus Sicht des Datenschutzes liegt das Hauptproblem in der fehlenden Transparenz der Datenbearbeitung. Denn es ist schwierig für Aussenstehende nachzuvollziehen, welcher Sachbearbeiter welche Dossiers bearbeitet bzw. auf welche Dossiers er Zugriff hat. Unklar ist auch, ob und inwiefern die Akten innerhalb der Versicherungs- gesellschaft ausgetauscht werden. Deshalb fordern wir auch, dass die Aktenführung der jeweiligen Dossiers transparent gemacht wird. Die Akten sind so zu führen, dass die betroffene Person - bei Einsicht der Akten - den Aktenfluss konkret nachvollziehen kann (Wer hat wem und zu welchem Zweck welche Daten weitergegeben bzw. bei wem welche Daten beschafft?). Die vorliegende Organisationsform, nämlich die gemeinsame Führung von Versiche- rungsdossiers, ist geeignet, die gesetzlichen Bestimmungen zu verletzen. Es ist min- destens der UVG-Bereich in organisatorischer, personeller und administrativer Hin- sicht von den anderen Versicherungszweigen zu trennen. Wir haben das BSV als Aufsichtsbehörde für den Unfallversicherungsbereich sowie das BPV als Aufsichtsin- stanz für den Privatversicherungsbereich gebeten, die Aufsicht zu koordinieren und die nötigen Massnahmen zu treffen.

5.8. Interne Akten - Externe Akten

9vr6x‡rrv†vpu‡†‚…qˆtv€T‚“vhy‰r…†vpur…ˆt†ir…rvpuˆ‡r…†purvqr‡“v†pur v‡r…rˆqr‘‡r…r6x‡r@‘‡r…r6x‡rx‚€€‡7rrv†puh…hx‡r…“ˆTvrr…qr qr7r‡…‚ssrrhˆs6s…htrtr“rvt‡@v†vpu‡vv‡r…r6x‡ruvtrtrqvrˆ…qr… ‰r…hy‡ˆt†v‡r…rHrvˆt†ivyqˆtqvrr†‚yyrv…qqrWr…†vpur…‡rvpu‡tr u…‡9vrtrr…ryyrWr…rvtr…ˆtqr…@v†vpu‡vv‡r…r6x‡r‰r…yr‡“‡wrq‚puqh†9h ‡r†puˆ‡“tr†r‡“

Beinahe alle Sozialversicherungen unterteilen ihre Versichertendossiers in interne und externe Akten. Diese Unterteilung ist in diversen Kreisschreiben festgehalten. Externe Akten sind Akten, denen für die Behandlung des Falles Beweischarakter zukommt (Berichte, Gutachten zu Diagnosen, Befunde etc.). Interne Akten sind nur für den in- ternen Gebrauch bestimmt (Entwürfe, Anträge, Notizen Hilfsbelege etc.). Bis anhin gewährten die Sozialversicherungsbehörden wie etwa die SUVA nur Einsicht in exter- ne Akten. Nach Datenschutzgesetz kann jede Person beim Inhaber einer Datensammlung Aus- kunft darüber verlangen, ob Daten über sie bearbeitet werden. Die Einschränkungen des Auskunftsrechts sind abschliessend geregelt. Insbesondere darf die Auskunft verweigert werden, wenn dies ein formelles Gesetz vorsieht. In den diversen Sozial- versicherungsgesetzen finden sich jedoch keine Bestimmungen, die eine Beschrän- kung des Auskunftsrechts zulassen würden. Die Unterteilung in interne und externe Akten bzw. die generelle Verweigerung der Akteneinsicht in interne Akten verstösst somit gegen das Auskunftsrecht nach DSG.

5. Tätigkeitsbericht 1997/1998 des EDSB 46

Der offene und nicht abschliessende Charakter der externen Akten lädt die Ver- waltung geradezu ein, interne Akten anzulegen. Die internen Akten sind zu verglei- chen mit sogenannten «Freitexten» oder «Bemerkungen», deren Umfang und Zweck nicht klar bestimmt sind. Insbesondere die in den internen Akten aufgeführten subjek- tiven Wertungen sind höchst fragwürdig. Sehr oft sind solche internen Akten ent- scheidrelevant und müssten eigentlich den Betroffenen herausgegeben werden. So wurden etwa in einem Unfallversicherungsdossier Angaben eines privaten Denunzian- ten, der einen Versicherten als Simulanten bezeichnete, auf internem Papier geführt. Dies ist um so gravierender, wenn der betroffenen Person zusätzlich noch das Aus- kunftsrecht verweigert wird und sie sich nicht dagegen wehren kann. Insofern soge- nannte interne Akten Daten beinhalten, die in irgendeiner Weise als Entscheidungs- grundlage verwendet werden, dürfen sie nicht als interne Akten definiert werden. Und folglich kann auch für solche Akten Auskunft gewährt werden. Im Sinne einer bürgerfreundlichen und transparenten Verwaltung sprechen wir uns für ein umfassendes Auskunftsrecht im Sozialversicherungsbereich aus. Wir haben das BSV als Aufsichtsbehörde gebeten, die nötigen Massnahmen zu treffen und insbe- sondere die diversen Kreisschreiben entsprechend anzupassen.

5.9. Die Notwendigkeit der Vertrauensärzte im Krankenversicherungsbereich

9vrWr…‡…hˆr†…“‡ruhirv€F…hxr‰r…†vpur…ˆt†ir…rvpuhpuqr…F‚“rƒ‡v‚qr† Br†r‡“r†“rvirqrˆ‡†h€rAˆx‡v‚raˆpu†‡†vq†vrv€Shu€rqr…Rˆhyv‡‡††v pur…ˆtˆr‡iru…yvpurvy‚s‡ˆ…†vrvqr…Ghtr†vq“ˆirˆ…‡rvyr‚irvrir†‡v€€ ‡r7ruhqyˆthq„ˆh‡v†‡T‚qhˆqqvr†v†‡uvr…‰‚7rqrˆ‡ˆtuhirqvrWr… ‡…hˆr†…“‡rqvrqh‡r†puˆ‡“…rpu‡yvpu“r‡…hyrAˆx‡v‚rvr†Avy‡r…†sB…qvrv…xyvpu urvxyrDs‚…€h‡v‚r9h€v‡†vrqvr†rAˆx‡v‚r…sByyrxrirqh…sr†vpu‡iy‚†† rvr…ˆhiutvtrT‡ryyˆt†‚qr…r†€ˆ††hˆpu†vpur…tr†‡ryy‡†rvqh††qvrh †vrhq…r††vr…‡rTrqˆtrhˆpu‡h‡†puyvpuvvu…r€Wr…h‡‚…‡ˆt†ir…rvputrssr‡ r…qr

Am 16. April 1997 hat der Eidgenössische Datenschutzbeauftragte im Rahmen des Jahreskongresses der Schweizerischen Gesellschaft der Vertrauensärzte auf deren Einladung zur datenschutzrechtlichen Funktion der Vertrauensärzte gesprochen. Eini- ge zentrale Element der Rede sind im folgenden dargestellt. Gemäss Art. 42 Abs. 5 des Bundesgesetzes über die Krankenversicherung (KVG) kann der behandelnde Arzt in bestimmten Fällen medizinische Angaben der Vertrauensärzte - anstelle der Kas- senverwaltung - bekanntgeben. In jedem Fall muss der Leistungserbringer dies tun, wenn der Versicherte dies verlangt. Zentrale Bestimmung des KVG für die Vertrau- ensärzte ist jedoch Art. 57, für ihre Datenschutzfunktion insbesondere dessen Abs. 5 der ihnen Unabhängigkeit zusichert, sowie Abs. 7, der ihnen zunächst ausdrücklich die Wahrung der Persönlichkeitsrechte der Versicherten auftragen. Zusätzlich zu die- ser allgemeinen Formulierung wird im selben Absatz auch die Filterfunktion der Ver- trauensärzte beschrieben, indem gesagt wird, dass sie «den zuständigen Stellen der Versicherer nur diejenigen Angaben weitergeben dürfen, die notwendig sind, um über die Leistungspflicht zu entscheiden, die Vergütung festzusetzen oder eine Verfügung zu begründen». In diesem Zusammenhang ist von praktischer Bedeutung, wie häufig der Weg über die Vertrauensärzte in Anspruch genommen wird. Wenn dies nämlich allzu oft ge- schieht, werden sie kaum in der Lage sein, ihre Rolle als Filter für die wirklich heiklen Informationen wahrzunehmen. Sie würden überschwemmt von Informationen, welche zumindest teilweise nicht als besonders schützenswert zu bezeichnen sind. In der jet-

5. Tätigkeitsbericht 1997/1998 des EDSB 47

zigen Situation könnten sie nicht mehr «dicht» halten und die Information auch nicht mehr filtern. Die Folgerung für die Leistungserbringer kann also momentan nur lauten, dass heikle Angaben an die Vertrauensärzte gerichtet werden sollten. An die Adresse der Versicherer ist zunächst zu fordern, dass sie den Vertrauensärzten tatsächlich eine unabhängige Stellung einräumen. Sodann müssen sie organisatorisch sicherstel- len, dass die an die Vertrauensärzte adressierten Sendungen tatsächlich in deren Herrschaftsbereich geöffnet und allenfalls nach Sensitivitätsgraden sortiert werden. Beides setzt nicht bloss die Freisetzung der entsprechenden Mittel voraus, sondern auch eine gewisse Stellung im Organigramm der Versicherung. Nur so können die erwähnten gesetzlichen Anforderungen überhaupt erfüllt und auch gegenüber allen anderen Mitarbeitern des Versicherers kommuniziert werden. Unseres Erachtens ist die Zeit reif, dass auch in den übrigen Versicherungsbranchen medizinische Dienste geschaffen werden. Insbesondere erachten wir es für notwen- dig, dass auch für die obligatorische Unfallversicherung das Institut des Vertrauens- arztes endlich eingeführt wird. Das Bedürfnis nach einem Sicherheitsfilter im medizini- schen Datenfluss stellt sich vor allem bei der SUVA ein, tritt sie doch gegenüber ihren Versicherten als grösste Unfallversicherung in der Schweiz auf.

5.10. Die Antragsformulare der Versicherungen und das Verhältnismässigkeitsprinzip

Q…v‰h‡rWr…†vpur…ˆt†tr†ryy†puhs‡rqB…srhˆsqr6‡…ht†s‚…€ˆyh…rˆ…qvrwrvtr A…htr†‡ryyrqvrsB…qrWr…‡…htˆirqvt‡r…s‚…qr…yvpu†vq9rqh†v€9TB‰r… hxr…‡rWr…uy‡v†€††vtxrv‡†ƒ…v“vƒtvy‡hˆpusB…qrQ…v‰h‡‰r…†vpur…ˆt†ir…rvpu

Nach dem Bundesgesetz über den Versicherungsvertrag werden grundsätzlich sämtli- che Fragen auf den Antragsformularen als erheblich vermutet. Für den Antragsteller ist es in der Praxis sehr schwierig, diese Vermutung zu widerlegen. Er wird daher alle (und damit auch unnötige) Fragen beantworten, um möglichst rasch zu einem Vertrag zu kommen. Das Datenschutzgesetz führte das Verhältnismässigkeitsprinzip auch für das Privat- recht ein. Privatversicherungen dürfen demnach nur so viele Personendaten bearbei- ten, wie dies für den jeweiligen Zweck geeignet und erforderlich ist. Die Versicherun- gen müssen also von Gesetzes wegen bemüht sein, die Antragsformulare so zu ges- talten, dass nur die wirklich nötigen Fragen gestellt werden. Leider müssen wir immer wieder feststellen, dass dem Verhältnismässigkeits- grundsatz in der Versicherungsbranche nicht nachgelebt wird. Aufgrund der Deregu- lierung in den einzelnen Märkten werden sogar noch zusätzliche Daten erhoben, um möglichst marktgerechte Produkte zu schaffen (vgl. 3. Tätigkeitsbericht S. 44). Wir beabsichtigen daher, die Antragsformulare in den einzelnen Versicherungsbranchen auf ihre Datenschutzkonformität zu überprüfen und die nötigen Massnahmen zu tref- fen.

5. Tätigkeitsbericht 1997/1998 des EDSB 48

% Br†ˆqurv‡†r†r

6.1. Expertenkommission Berufsgeheimnis medizinische Forschung : - Krebsregis- ter des Kantons Wallis

9h†F…ri†…rtv†‡r…qr†Fh‡‚†Xhyyv†v†‡v€7r†v‡“rvr…7rvyyvtˆtqr…@‘ƒr…‡rx‚ €v††v‚7r…ˆs†trurv€v†€rqv“vv†purA‚…†puˆtˆqqh…sqhur…9h‡rir‡…rssrq Qh‡vr‡r€v‡Uˆ€‚…irsˆqrhˆ††rvr€@v“ˆt†trivr‡r‡trtrru€r@vr‰‚…tr †rurr˜qr…ˆtqr…@9WDs…h†‡…ˆx‡ˆ…ˆ…qrqr€Trx…r‡h…vh‡qr…@‘ƒr…‡rx‚€€€v† †v‚ˆ‡r…i…rv‡r‡rypur†qvr6s…htrqr€@9T7“rpx†Q…Bsˆtqr…9h‡r†puˆ‡“x‚ s‚…€v‡‡ˆ‡r…i…rv‡r‡r

Die Konstruktion der Registerbewilligungen nach Art. 321bis StGB ist schon juristisch keine ganz einfache Angelegenheit. Auf das Grundsätzliche reduziert bedeutet eine solche Bewilligung, dass das Register die Erlaubnis hat, von behandelnden Ärzten Meldungen betreffend Patienten mit Tumorbefund entgegenzunehmen. Den behan- delnden Ärzten im Einzugsgebiet des Registers wird durch dieselbe Bewilligung die Offenbarung des Berufsgeheimnisses erlaubt. Für alle neuen Registerbewilligungen der schweizerischen epidemiologischen Krebsregister gilt selbstverständlich, dass sie auch ihre Grenzen haben. So dürfen diese beispielsweise ihre Daten nur zu bestimm- ten Zwecken bearbeiten und es muss insbesondere sichergestellt werden, dass die Zugriffe auf identifizierende Merkmale der Patienten auf ein absolutes Minimum redu- ziert und nur einem sehr begrenzten Personenkreis erlaubt wird. Nur am Rande sei die Tatsache erwähnt, dass es vielfach recht zufällig ist, ob eine bestimmte Grenze der Bewilligung im Entscheid explizit als Auflage formuliert wird oder ob der Entscheid vielmehr einfach davon ausgeht, dass sie sich von selbst verstehe und daher nicht als Auflage formuliert werden müsse. Diese Zufälligkeit wäre an sich auch nicht proble- matisch, wenn davon nicht die gesamte Regelung der Zuständigkeiten bestimmt wür- de. Soweit nämlich explizite Auflagen formuliert sind, ist der EDSB zuständig, deren Einhaltung zu überwachen. Im Bereich der übrigen Grenzen der Bewilligungen jedoch unterstehen die Krebsregister als kantonale Institutionen der Aufsicht der jeweiligen kantonalen Datenschutzaufsichtsstellen. Die Expertenkommission ging in ihrer Bewilligung vom 16. August 1995 von einer ganz bestimmten EDV-Infrastruktur des Krebsregisters des Kantons Wallis aus. Aus diesem Grund wurde das Sekretariat der Kommission vom Register über eine geplan- te Änderung dieser Infrastruktur informiert. Die Kommission wiederum hat die Anfrage dem EDSB weitergeleitet mit der Frage, ob die vorgesehene Änderung den Anforde- rungen des Datenschutzes genügen. Inhaltlicher Kernpunkt ist die Anbindung an das Netzwerk des Kantonsspitals Sitten. Diese Grundfrage wird im Prinzip schon durch die Lektüre des ursprünglichen Bewilli- gungsentscheides beantwortet, woraus hervorgeht, dass die Kommission schon da- mals billigend davon ausgegangen ist, dass eine derartige Netzanbindung vorauszu- sehen war. Demgemäss ist diese Anbindung als durchaus im Sinne des Entscheides zu betrachten. Problematisch ist jedoch die ungenaue Formulierung des Entscheides, wonach damit dem «Register die Möglichkeit gegeben werde, Daten bei der Abteilung Pathologie zu holen». Damit wird wenig über die Intensität dieses Zugriffs (Einzelab- fragen oder Listenabfragen) und gar nichts über die davon abgedeckten Datenkatego- rien gesagt. Es steht dem EDSB nicht zu, Kommissionsentscheide direkt abzuändern, weshalb wir auch diese Formulierung nicht präzisieren konnten. Unsere Antwort laute- te daher in dieser Beziehung, es müsse mittels technischer und organisatorischer Massnahmen sichergestellt werden, dass sich die definierten Zugriffsberechtigungen durch die Netzanbindung nicht verändern. Dabei müssen die Massnahmen die ge-

5. Tätigkeitsbericht 1997/1998 des EDSB 49

samte Datenbearbeitung abdecken und insbesondere auf den drei Ebenen Netzwerk, Betriebssystem und Datenbanksystem implementiert und getestet werden.

6.2. Verordnung über die Meldung übertragbarer Krankheiten des Menschen: feh- lende Grundlage im Epidemiengesetz

9h†7ˆqr†h€‡sB…Br†ˆqurv‡v€€‡hˆst…ˆq‰‚7r†‡v€€ˆtrvqr…Hryqr‰r… ‚…qˆt‰‚˜…“‡rˆqGhi‚…†Hryqˆtrir‡…rssrqh†‡rpxrqrF…hxurv‡rr‡ trtrT‚rv‡r††vpuqhirvˆ€vpu‡h‚’€v†vr…‡r9h‡ruhqry‡v†‡rvrB…ˆqyhtr hˆsT‡ˆsrrvr†s‚…€ryyrBr†r‡“r†r…s‚…qr…yvpuAB…†€‡yvpur6…‡r‰‚Hryqˆtrv†‡ hyyr…qvt†‰‚…ttvt“ˆƒ…Bsr‚ivpu‡hˆpu€v‡h‚’€v†vr…‡r9h‡rtrh…irv‡r‡ r…qrx‡r

Im Rahmen der Revision der Meldeverordnung wurde der EDSB vom federführenden Bundesamt für Gesundheit konsultiert. Für manche der in der Verordnung vorgesehe- nen Bearbeitungen kann diese allein als gesetzliche Grundlage nicht genügen. Soweit es sich dabei um Bearbeitungen von besonders schützenswerten Personendaten handelt, ist eine Grundlage auf Gesetzesstufe erforderlich. Die Schaffung einer sol- chen ist nunmehr in Sichtweite. Es darf jedoch nicht Hauptziel des EDSB sein, dem formalen Erfordernis nach Gesetzesgrundlagen bestimmter Stufe Nachdruck zu ver- schaffen. Mit der Schaffung von Gesetzesgrundlagen ist zwar etwas an Transparenz gewonnen. Ein grösserer Gewinn wird für die Sache des Datenschutzes allerdings erzielt, wenn für bestimmte Bearbeitungen von vornherein gar keine Personendaten erhoben werden. In erster Linie ist demnach darauf hinzuwirken, dass bei den bear- beitenden Stellen ein «Datenschutzreflex» entsteht, der bei jeder Datenbearbeitung sofort zur Fragestellung führt, ob denn nicht mit anonymisierten Daten gearbeitet wer- den könnte. In Zusammenarbeit mit dem Bundesamt für Gesundheit konnten im Rahmen der Revision der Meldeverordnung die Fälle herausgearbeitet werden, in welchen nicht mit anonymisierten Daten gearbeitet werden kann. Wie nicht anders zu erwarten war zeigte sich auch hier, dass die datenschutzrechtlich zentrale Information betreffend eine Datenbearbeitung in der Beschreibung der ihr zugrundeliegenden Zie- le liegt. Die Aufgaben des Bundesamtes für Gesundheit im Zusammenhang mit dem hier betrachteten Meldewesen können nämlich grob in zwei Bereiche unterteilt wer- den. Einerseits sollen statistisch-epidemiologische Ziele verfolgt werden, wodurch die Verbreitung von ansteckenden Krankheiten beobachtet werden soll. Diese Bearbei- tungszwecke können in der Regel ohne grossen Aufwand auch mit anonymisierten Daten verfolgt werden, weshalb die Erhebung von Personendaten als unverhältnis- mässig zu bezeichnen wäre. Andererseits gibt es bestimmte Krankheiten, bei deren Ausbruch sich gewisse personenbezogene Massnahmen aufdrängen können. Im Be- reich dieser Meldungen ist eine personenbezogene Meldung bis zum Bundesamt für dessen Koordinationsaufgabe notwendig und daher auch verhältnismässig.

6.3. Die H+ Spitalstatistik wird endlich mit anonymisierten Daten geführt

Trv‡Ehu…“ru‡rtrirTƒv‡yr…qr…C‰‚…€hy†W@TF6h€r‡yvpurQh‡vr‡rqh‡r “rpx†7rh…irv‡ˆtv€6ˆs‡…htirxh‡9vr†r7rxh‡thir†‡ryyrt…ˆq†‡“yvpu †‡…hs…rpu‡yvpu…ryr‰h‡rChqyˆtrqh…h†7r‡rvyvt‡rrirshyy††pu‚†rv‡ytr…r… arv‡irˆ††‡h…9r……rpu‡yvpuˆuhy‡ih…raˆ†‡hqˆ…qrˆrqyvpuiru‚irhpu qr€ir†‡v€€‡r5ir…yrtˆtrhˆ†qr…@…uriˆtsB…qvr€rqv“vv†purT‡h‡v†‡vxqr… F…hxruˆ†r…hˆsqvr7rh…irv‡ˆtrirvChhy‚thtrrqr‡ˆ…qr

5. Tätigkeitsbericht 1997/1998 des EDSB 50

Seit 1968 finden bei der H+ (vormals VESKA) im Auftrag von Spitälern auch Bearbeitungen von Patientendaten statt. Diese Bearbeitungen können historisch vor allem dadurch erklärt werden, dass in vielen Spitälern bis vor relativ kurzer Zeit Computerressourcen und Know-How kaum verfügbar waren. Dass im Rahmen dieser Bearbeitungen regelmässig strafrechtlich relevante Handlungen - insbesondere die Verletzung des Berufsgeheimnisses durch die behandelnden Ärzte bzw. deren Hilfspersonen - stattfanden, war ebenfalls schon seit geraumer Zeit bekannt. Schon im Februar 1984 wurde der Bericht «Datenschutz im Medizinalbereich» einer vom Bundesamt für Justiz eingesetzten Expertengruppe publiziert, welcher hierzu zwei wesentliche Punkte hervorhebt. Der Tatbestand der Verletzung des Berufsgeheimnis sei als erfüllt zu bezeichnen (S. 198) und die VESKA-Verantwortlichen seien sich schon damals der Probleme bewusst (S. 200) gewesen. Dennoch ist jahrelang nichts geschehen. Auf den 1. Januar 1998 hat die H+ nun die entscheidende Verbesserung eingeführt, indem alle ihre Datenbearbeitungen vom Anonymitätsgrad her der medizinischen Statistik der Krankenhäuser angeglichen wurden. Das bedeutet zunächst, dass die Spitäler keine namentlichen Patientendaten mehr durch H+ bearbeiten lassen können. Sodann wird aber auch auf indirekt identifizierende Merkmale wie das genaue Geburtsdatum der Patienten und die Postleitzahl ihrer Wohnorte verzichtet. Die sogenannten Krankengeschichten-Nummern der einzelnen Spitälern werden zum Zwecke der Datenvalidierung und Qualitätskontrolle noch während der begrenzten Zeit bearbeitet, welche für diese Zwecke absolut erforderlich ist. Mit dieser Vorgehensweise dürfte ein altbekanntes und unter dem Gesichtspunkt des Datenschutzes ausserordentlich lästiges Problem endlich aus der Welt geschafft sein, was an dieser Stelle positiv vermerkt sei.

6.4. SUVA Jahresbericht 1996: Richtigstellung über angebliche Äusserungen der Datenschutzbeauftragten

9r…Ehu…r†ir…vpu‡ ((%qr…TVW6hu€7r“ˆthˆs˜ˆ††r…ˆtrqr…9h‡r†puˆ‡“irhˆs ‡…ht‡rqr…Fh‡‚rˆqqr†7ˆqr†rypurvUh‡ˆqXhu…urv‡vr†‡h‡‡trsˆqr uh‡‡r9vrir‡…rssrqrQh††htrhˆ†qr€7r…vpu‡v…qv€s‚ytrqr“v‡vr…‡ˆqx‚……v tvr…‡

Im Jahresbericht 1996 der SUVA lautet der Schluss des Abschnittes zur MediData AG «Die Vorgaben des Datenschutzes werden vollumfänglich eingehalten.» Sowohl der eidgenössische wie auch die kantonalen Datenschutzbeauftragten haben das Kon- zept geprüft und grundsätzlich gutgeheissen. Zu korrigieren ist zunächst, dass der EDSB keine billigende Äusserung zum Konzept der erwähnten Firma getan hat. So- dann ist dem EDSB auch kein kantonaler Datenschutzbeauftragter bekannt, für den dies zuträfe. Vielmehr wissen wir von einigen mit Bestimmtheit, dass sie dies nicht getan haben. Einzige bisherige Verlautbarung unsererseits war in dieser Sache ein Beitrag im dritten Tätigkeitsbericht 1995/96 (S. 51), worin wir folgende Aspekte er- wähnten. Einerseits haben wir die Bemühungen im Zusammenhang mit der Kommu- nikationssicherheit positiv beurteilt. Auf der anderen Seite haben wir Vorbehalte ange- bracht in bezug auf fehlende gesetzliche Grundlagen, den Ausschluss der Betroffenen aus dem Informationskreislauf, die Menge der systematisch an die Versicherer be- kanntgegebenen Informationen sowie die Möglichkeit des Vertrauensarztes, in diesem System seine Aufgabe im Dienste des Persönlichkeitsschutzes wahrzunehmen.

5. Tätigkeitsbericht 1997/1998 des EDSB 51

& F…rqv‡r†r

7.1. Anforderungen an die Allgemeinen Geschäftsbedingungen und die Anträge bei Kreditkarten

6ˆ†qr6yytr€rvrBr†pus‡†irqvtˆtrˆqF…rqv‡xh…‡rh‡…tr€ˆ††xyh…ur… ‰‚…trurrypur9h‡rirh…irv‡ˆt‰‚…tr†rurv†‡qh€v‡qvrh‡…ht†‡ryyrqrQr…†‚ rv††vrqvrtr†h€‡r7rh…irv‡ˆtˆqXrv‡r…thirvu…r…9h‡r‰‚…tr†rurv†‡

Daten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angege- ben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Wenn auf- grund von Kreditkartenbezügen Konsum- und Reisegewohnheiten erfasst und marke- tingmässig ausgewertet werden, ohne dass die Einwilligung der Kunden vorher einge- holt wird, liegt eine unzulässige Zweckänderung vor. Wie wir festgestellt haben, wissen die wenigsten Kreditkarten-Inhaber, wie die Bear- beitung ihrer Personendaten effektiv erfolgt und in welche Datenbearbeitungen sie ihre Einwilligung geben. Dies ist darauf zurückzuführen, dass weder aus den Kredit- karten-Anträgen noch aus den Allgemeinen Geschäftsbedingungen klar hervorgeht, in welchem Umfang ihre Daten bearbeitet werden und wer die Datenempfänger sind. Grosse Kreditkartenorganisationen wurden von uns auf die allgemeinen Grundsätze der Bearbeitung von Personendaten, die Rechtfertigungsgründe sowie die Anforde- rungen an die Einwilligungsklauseln hingewiesen. Besonders betont haben wir den Umstand, dass bei der Benützung einer Kreditkarte und der damit verbundenen Da- tenbearbeitungen Persönlichkeitsprofile anfallen, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit ermöglichen. Der Besitz einer Kreditkarte ist für die Einreise in verschiedene Länder unerlässlich, womit der Kunde faktisch in seiner Vertragsfreiheit und im besonderen in der Ab- schlussfreiheit eingeschränkt ist. Die faktische Grenze der Vertragsfreiheit des Kredit- karten-Antragstellers schränkt damit auch die Freiheit der Willensentscheidung bezüg- lich der für ein Antragsformular verlangten Bekanntgabe von Daten ein. Es kann daher nicht generell davon ausgegangen werden, die Bekanntgabe der Daten beinhalte per se eine rechtswirksame Einwilligung in die Weitergabe an Dritte (vgl. dazu Entscheid der Eidgenössischen Datenschutzkommission vom 21. November 1996, i. S. Mietwe- sen, S. 30). Die Einwilligung muss freiwillig und in Kenntnis aller Umstände über die ganze Bear- beitung der Daten erfolgen. Das heisst, die Einwilligungsklausel muss klar und eindeu- tig formuliert sein, damit der Kunde den Zweck, die Bedeutung und Tragweite seiner Einwilligung erkennt. Insbesondere müssen die Datenkategorien, der Zweck der Be- arbeitung, die Kategorien der bearbeitenden Personendaten und die Empfänger (Drit- te) ersichtlich sein. Bei der Bekanntgabe an Tochtergesellschaften, Konzern intern oder unter gleichen Branchen handelt es sich immer um Dritte. Die systematische Be- kanntgabe beispielsweise von «Negativdaten» an Dritte wie Zentralstellen ist nicht hinreichend aus den Umständen ersichtlich und liegt unseres Erachtens nicht mehr im üblichen Rahmen des Vertragsverhältnisses einer Kreditkarte. Vor allem, wenn Kre- ditkarten-Unternehmen zusammenarbeiten, ist der Kunde ausdrücklich auf die Zent- ralstelle und deren Mitglieder hinzuweisen. Liegt keine rechtswirksame Einwilligung vor, vermag sie den Eingriff nicht zu rechtfertigen, und dieser bleibt rechtswidrig. Wenn immer möglich ist über die Dauer der Aufbewahrung der Daten und die Folgen einer Verweigerung von Angaben zu informieren.

5. Tätigkeitsbericht 1997/1998 des EDSB 52

Ein Beispiel für eine Einwilligungsklausel:

Hiermit bestätige ich die Richtigkeit vorstehender Angaben und ermächtige die Firma XY bei meinem Arbeitgeber, meiner Bank sowie beim Betreibungsamt, die für die Prü- fung dieses Antrages sowie die für den späteren Gebrauch der Karte erforderlichen Auskünfte einzuholen. Darüber hinaus bleibt die Bekanntgabe von Informationen an aussenstehende Dritte ausgeschlossen. Vorbehalten bleiben allfällige vollstreckbare Befehle zur Datenedition sowie eine Meldung an die Zentralstelle (bestehend aus 90 Mitglieder aus folgenden Branchen: V, B, Z etc.) im Falle von gesperrten Karten, von missbräuchlicher Kartenverwendung oder qualifiziertem Zahlungsrückstand (ab drei Monaten und mehr als Fr. 2’000).

Falls Daten zu verschiedenen Zwecken (Rechnungsstellung, Werbung, Bekanntgabe an Zentralstelle bei Sperrung, weitere Dritte etc.) notwendig sind, muss für den durch- schnittlichen Kunden klar ersichtlich sein, welche Daten zu welchen Zwecken bearbei- tet werden. Personendaten dürfen beispielsweise nur zu Marketingzwecken verwen- det werden, wenn vorher die Einwilligung der Kunden eingeholt wurde. Dazu ist eine separate, ausdrückliche Einwilligung des Kunden erforderlich (z.B. im Kreditkarten- Antrag Kasten zum Ankreuzen). Die Einwilligungsklausel ist idealerweise im Kreditkar- ten-Antrag aufzuführen und sollte mindestens drucktechnisch hervorgehoben. Damit würde auch den Anforderungen der EG-Datenschutzrichtlinie entsprochen, welche vorsieht, dass der Betroffenen in Kenntnis der Sachlage und ohne jeden Zweifel ein- willigt. Bearbeitungen von Personendaten, welche zur Abwicklung eines Vertrages nötig sind, können in den Allgemeinen Geschäftsbedingungen geregelt werden. Hingegen dürfen Datenbearbeitungen, die nicht in einem direkten Zusammenhang mit der Vertragsab- wicklung stehen wie die Verwendung von Personendaten für interne oder externe Marketingzwecke keinesfalls in den Allgemeinen Geschäftsbedingungen figurieren. Es besteht weder ein Rechtfertigungsgrund noch entspricht es dem Prinzip der Ver- hältnismässigkeit, dem Kunden eine Datenbearbeitung aufzuzwingen, die nichts mit der unmittelbaren Vertragsabwicklung zu tun hat. Sofern der Kunde die Verwendung seiner Daten zu Marketingzwecken nicht wünscht, ist er gezwungen, auf die Dienst- leistung ebenfalls zu verzichten. Derartige Datenbearbeitungen bedürfen daher einer separaten Einwilligungserklärung des Kunden, die nicht mit den Allgemeinen Ge- schäftsbedingungen gekoppelt ist. Eine Verweigerung der Einwilligung, die Daten zu Marketingzwecken preiszugeben, darf keine negativen Auswirkungen auf die übrige Vertragsabwicklung haben.

7.2. Publikation von Listen betreffend Zahlungsfähigkeit

Q…v‰h‡rQr…†‚rqB…srxrvr€‚h‡yvpurGv†‡rBir…qvrahuyˆt†suvtxrv‡‰‚ Tpuˆyqr…r…†‡ryyrˆq9…v‡‡r‚qr…Wr…ihq†€v‡tyvrqr…irxh‡trirrvyqvr Svpu‡vtxrv‡qr…9h‡rvpu‡tru…yrv†‡r‡r…qrxh@vrqr…h…‡vtr7rh…irv‡ˆtv†‡ rqr…‰r…uy‡v†€††vt‚putr…rpu‡sr…‡vt‡

Aufgrund einer nicht sofort beglichenen Forderung war gegen eine private Person ei- ne Betreibung eingeleitet worden. Der Schuldner erhob Rechtsvorschlag und verpass- te den Gerichtstermin. Die Forderung wurde sodann umgehend bezahlt. Einen Monat später wurde der Name der betroffenen Person in einer Liste über schlechte bzw. zah- lungsunfähige Personen in einer Zeitschrift eines Verbandes publiziert. Der betroffe-

5. Tätigkeitsbericht 1997/1998 des EDSB 53

nen Person erwuchsen aus dieser Publikation erhebliche Nachteile und Schäden, worauf sie sich an uns wandte. Listen, bestehend aus Namen, Adressen und Angaben über eingeleitete Schuldbe- treibungs- und Konkursverfahren, beziehen sich auf bestimmte oder bestimmbare Personen. Obwohl dies weder besonders schützenswerte Personendaten noch Per- sönlichkeitsprofile sind, müssen bei der Bearbeitung dieser Personendaten die allge- meinen Grundsätze der Datenbearbeitung eingehalten werden. Der Inhaber der Da- tensammlung muss insbesondere dafür sorgen, dass die Angaben richtig sind. Indem ganze Listen von Namen und Adressen sämtlichen Mitgliedern eines Verban- des zur Verfügung gestellt werden, wird gegen den Grundsatz der Verhältnismässig- keit verstossen (vgl. 2. Tätigkeitsbericht S. 58). Im Einzelfall sind zwar so viele Daten wie nötig, aber so wenige wie möglich zu bearbeiten. Es liegt auf der Hand, dass nicht jedes Mitglied mit jeder Person auf einer Liste einen Vertrag abschliessen möchte und daher nicht auf alle Namen angewiesen ist. Es ist stossend, wenn eine Rechnung im März 1997, nach der Zustellung der Konkursandrohung, bezahlt wird und der Name der betroffenen Person im Mai unter der Rubrik Konkursandrohung wieder erscheint. Diese Veröffentlichung ist nicht verhältnismässig. Es kann durchaus vorkommen, dass eine gewissenhafte Person aus Versehen eine Rechnung erst mit grosser Verspätung bezahlt. Sofern deren Daten jedoch sofort in einer Liste figurieren, wird ein falsches Bild über die betroffene Person erweckt. Dabei kann dem Grundsatz der Richtigkeit nicht Rechnung getragen werden. Es ist nicht auszuschliessen, dass den Betroffenen in der Zwischenzeit Nachteile entstehen und sich daraus auch Schadenersatzforde- rungen ableiten lassen können. Daher gilt es zu prüfen, ob Rechtfertigungsgründe für eine derartige Bearbeitung vorliegen. Die Rechtfertigungsgründe der Einwilligung der betroffenen Personen oder eines Gesetzes sind vorliegend nicht auszumachen. Ein überwiegendes privates Interesse fällt in Betracht, wenn zur Prüfung der Kredit- würdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekanntgegeben werden, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen. Den Mitgliedern werden nicht nur jene Daten zur Verfügung gestellt werden, die sie für den Abschluss oder die Abwicklung eines Vertrages effektiv benö- tigen, sondern eine globale Liste von möglichen Schuldnern. Dadurch wird der Ver- hältnismässigkeitsgrundsatz verletzt. Der Rechtfertigungsgrund des überwiegenden privaten Interesses kann somit auch nicht gegeben sein. Es gilt auch zu prüfen, ob die Verletzung der Persönlichkeit durch ein überwiegendes öffentliches Interesse gerechtfertigtwerden könnte. Angesichts der Verschärfung des wirtschaftlichen Wettbewerbes ist ein gewisses volkswirtschaftliches Interesse an In- formationen über die finanzielle Situation der Vertragspartner durchaus zu bejahen. Im normalen, privaten Verkehr ist jedoch grösste Vorsicht geboten, eine Rechtferti- gung der Persönlichkeitsverletzung aus überwiegenden öffentlichen Interessen anzu- nehmen. Zwar besteht ein berechtigtes Interesse der Verbandsmitglieder, Informatio- nen über die Kreditwürdigkeit von Personen, mit denen sie in wirtschaftliche Bezie- hung treten wollen, zu erhalten. In die von Betreibungs- und Konkursämtern geführten Protokolle kann indes nur Einsicht nehmen, wer ein Interesse glaubhaft macht (Art. 8a Abs. 1 Bundesgesetz über Schuldbetreibung und Konkurs, SchKG). Ein solches Inte- resse ist insbesondere dann glaubhaft gemacht, wenn das Auskunftsgesuch in unmit- telbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages erfolgt (Art. 8a Abs. 2 SchKG). Gemäss Art. 232 Abs. 1 und Art. 268 Abs. 4 SchKG werden Eröffnung und Schluss des Konkursverfahrens durch das Konkursamt öffent- lich bekanntgemacht. Daraus resultiert nicht, dass auch andere Angaben von der

5. Tätigkeitsbericht 1997/1998 des EDSB 54

Ausstellung des Zahlungsbefehls bis zur Konkurseröffnung einer grossen Anzahl von Personen oder Mitgliedern zugänglich gemacht werden können. Durch die Bekannt- gabe von Listen in einer Zeitschrift ist zudem keine Prüfung der Interessen der einzel- nen Mitglieder für jede aufgeführte Person möglich. Aus diesem Grund ist auch ein überwiegendes öffentliches Interesse zu verneinen. Das Argument, die Daten würden in einem periodisch erscheinenden Medium veröf- fentlicht, kann bei monatlichen Listen in einer Verbandszeitschrift nicht herangezogen werden. Der Gesetzgeber hat sich dabei ausschliesslich auf den redaktionellen Teil eines periodisch erscheinenden Mediums bezogen. Der Begriff «ausschliesslich» macht deutlich, dass die entsprechenden Daten nicht sowohl redaktionell als auch kommerziell bearbeitet werden können, womit dieser Rechtfertigungsgrund ebenfalls nicht zu bejahen ist. Ein Rechtfertigungsgrund, der die Verletzung des Grundsatzes der Verhältnismä- ssigkeit und der Richtigkeit der Datenbearbeitung legitimieren könnte, ist nicht ersicht- lich. Die Bekanntgabe von Personendaten im Zusammenhang mit der Überprüfung der Kreditwürdigkeit darf daher lediglich auf Anfrage und im Einzelfall erfolgen (on-line nur unter Eingabe eines bestimmten Namens/Suchkriteriums; dazu auch 4. Tätig- keitsbericht: S. 43). Damit die Daten den interessierten Personen aktuell angeboten werden können, wur- de von der widerrechtlichen listenweisen Bekanntgabe von Personendaten abgese- hen. Die Daten sind nun elektronisch verfügbar, womit die Richtigkeit fortlaufend ge- währleistet wird. Alte und unrichtige Daten werden unverzüglich im System korrigiert.

' 9v…rx‡€h…xr‡vt

8.1. Adresshandel

9v…rx‡€h…xr‡vt)T‚yhˆ‡r‡urˆ‡rqh†@…s‚yt†…r“rƒ‡‰vryr…Xr…irshpuyrˆ‡r“ˆ…@…†puyvr ††ˆtrˆr…Fˆqrx…rv†r9h††qvr…vpu‡vtr6q…r††r†‚“ˆ†htrqh†Cr…“†‡Bpxqvr†r… Xr…ir†‡…h‡rtvrqh…†‡ryy‡v†‡†pu‚yhtrxrvBrurv€v†€ru…Darv‡rqr†v€€r… u…‡r…r…qrqrF‚xˆ……r“xh€ƒsr†r…†‡hˆ‡r†qhur…vpu‡qh††qvr6q…r††r†ryi†‡ hy†Q…‚qˆx‡truhqry‡v…qB…ˆq†‡“yvpuv†‡trtrqvrWr…rqˆt‰‚6q…r††r“ˆ Xr…ir“rpxrvpu‡†rv“ˆrqr@†€B††rwrq‚puhˆpuvqvr†r€Br†pus‡rvvtr qh‡r†puˆ‡“…rpu‡yvpurTƒvry…rtryrvtruhy‡rr…qr

Der Verkauf und die Vermietung von Adressen stellt eine Bearbeitung von Personen- daten im Sinne des Bundesgesetzes über den Datenschutz (DSG) dar. Aus diesem Grunde müssen hier die allgemeinen Datenschutzgrundsätze bei der Bearbeitung be- achtet werden (Rechtmässigkeit; Bearbeiten nach dem Grundsatz von Treu und Glauben; Verhältnismässigkeit und Zweckbindung der Bearbeitung; Richtigkeit der Daten). Dies bedeutet im wesentlichen folgendes: Die Verwendung von Adressen zu Werbezwecken ist grundsätzlich gestattet, wenn die betroffene Person ihre Adresse öffentlich zugänglich gemacht (z.B. freiwilliger Ein- trag im Telefonbuch oder in Branchenverzeichnissen) und die Verwendung für Wer- bezwecke nicht untersagt hat. Das bedeutet umgekehrt, dass eine Datenbearbeitung gegen den Willen der betroffenen Person unzulässig ist, weshalb der Wunsch, die Adresse sperren zu lassen, in jedem Fall respektiert werden muss. Sämtliche Daten der betreffenden Person sind daher in der eigenen Adressdatei umgehend mit einem Sperrungsvermerk (z.B. gesperrt für die Verwendung für Werbezwecke) zu versehen und die erfolgte Sperrung gegenüber dem Betroffenen schriftlich zu bestätigen. Beim

5. Tätigkeitsbericht 1997/1998 des EDSB 55

Neuerwerb von Adressdateien empfiehlt es sich, um unnötige Reklamationen zu ver- meiden, diese mit der vom Schweizerischen Verband für Direktmarketing herausge- gebenen Robinsonliste abzugleichen (SVD, Postfach, 8708 Männedorf). Jede betroffene Person hat gemäss Art. 8 DSG das Recht, Auskunft über alle über sie gespeicherten Daten Auskunft zu verlangen. Die hohe Qualität und somit der hohe Handelswert einiger Adressdateien ist darauf zurückzuführen, dass verschiedene Adress-handelsfirmen über Zusatzangaben der in ihren Dateien gespeicherten Perso- nen verfügen. Diese Zusatzangaben dienen als Auswahlkriterien und ermöglichen eine gezielte Werbung nach Alter, Geschlecht, Beruf, Kaufkraftklasse, Branche usw. Zahlreiche derartige Angaben können allein schon aufgrund von Name und Adresse mit Hilfe von statistischen Erhebungen nach einem eigens für Marketingzwecke ge- schaffenen Schlüssel errechnet werden. Auch diese Angaben müssen den auskunfts- ersuchenden Personen ohne Ausnahme schriftlich mitgeteilt werden. Zur Erlangung von weiteren Informationen werden sehr oft auch Meinungsumfragen durchgeführt oder neuerdings auch Kundenkarten angeboten. In beiden Fällen wird ein Konsumprofil der betreffenden Personen erstellt, das u.a. auch zum Zweck der Adress-Selektion verwendet werden kann. Es ist daher wichtig, dass die Betroffenen sehr genau über den Zweck der Umfrage, resp. die Datenerhebung mittels Kunden- karte orientiert werden. Es reicht nicht aus, die Begriffe Marktforschung oder Marke- ting zu verwenden, um dem Betroffenen klar zu machen, wofür die erhoben Daten verwendet werden. Da im vorliegenden Fall ein Persönlichkeitsprofil im Sinne des DSG in Bezug auf das Konsumverhalten der Betroffenen erstellt wird, sind erhöhte Anforderungen an die Einwilligung zur Datenbearbeitung zu stellen. Die Betroffenen können ihre Einwilligung für eine Datenbearbeitung erst rechtsgültig abgeben, wenn sie den Umfang der beabsichtigten Datenbearbeitung vollständig kennen. Marketing kann vieles bedeuten: Auswertung des Konsumprofils, Weitergabe an Drittunterneh- men zum Adressverkauf, zum Werbeversand, für Spendenaufrufe, zum Anbieten von Dienstleistungen, usw. Es muss ausserdem auch ganz klar darauf hingewiesen wer- den, dass die Teilnahme an solchen Umfragen vollkommen freiwillig ist. Ansonsten kann nicht von einer rechtsgültigen Einwilligung gesprochen werden (Siehe dazu ein- gehend S. 62). Personendaten dürfen prinzipiell nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde. Wenn sich nachträglich eine Zweckänderung ergibt, so dürfen die erhobenen Daten nicht einfach weiterverwendet werden. Die Betroffe- nen müssen erneut um ihre Zustimmung gebeten werden. Sogenannte Marktforschung im Zusammenhang mit Adressbeschaffung ist zumeist auf Informationen über Haushalte als Einheit ausgerichtet. Dies ist u.a. darauf zurück- zuführen, dass sich die Effizienz einer qualitativ hochstehenden Direktwerbung nicht zuletzt durch Kostenersparnis auszeichnet. Deshalb werden in vielen Marktfor- schungsumfragen auch Fragen zur Person und zum Konsumverhalten anderer im Haushalt lebender Personen gestellt. An dieser Stelle muss deshalb festgehalten werden, dass eine rechtsgültige Einwilligung zur Datenbearbeitung jede betroffene Person nur für sich selbst abgeben kann. Bei einem Fragebogen besteht jedoch die Möglichkeit, die Einwilligungsklausel durch die anderen mündigen Hausgenossen mit- unterzeichnen zu lassen. Bei telefonischen Umfragen sind jedoch Fragen, die sich nicht auf den Interview-Partner beziehen, unzulässig. Schliesslich muss grundsätzlich jeder, der Adressen verkauft oder vermietet, seine Datensammlung beim Eidgenössi- schen Datenschutzbeauftragten anmelden, soweit die betroffenen Personen von der Bearbeitung keine Kenntnis haben.

5. Tätigkeitsbericht 1997/1998 des EDSB 56

8.2. Vereine: Weitergabe von Mitgliederlisten an Vereinsmitglieder

Xv…ˆ…qr†ru…‚s‡€v‡qr…A…htrx‚s…‚‡vr…‡‚ihˆ†qh‡r†puˆ‡“…rpu‡yvpur5ir…yr tˆtrHv‡tyvrqr…yv†‡rBir…uhˆƒ‡‚puhWr…rv†€v‡tyvrqr…rv‡r…trtrirr…qr qB…sr9h†9TBxhuvr…yrvqr…xrvrMQh‡r‡y†ˆtNhivr‡r@†uy‡wrq‚puir †‡v€€‡rB…ˆq†‡“rsr†‡qvrrvr@‡†purvqˆtv€@v“ryshyyr…€tyvpur

Die Weitergabe von Mitgliederlisten an Vereinsmitglieder stellt eine Datenbearbeitung im Sinne des Bundesgesetzes über den Datenschutz (DSG) dar. Bei der Bearbeitung sind daher die in Art. 4 DSG formulierten Datenschutzgrundsätze zu beachten (Rechtmässigkeit; Bearbeiten nach dem Grundsatz von Treu und Glauben; Verhält- nismässigkeit und Zweckbindung der Bearbeitung; Richtigkeit der Daten). Wer Perso- nendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht wi- derrechtlich verletzen. Eine Datenbearbeitung ist in diesen Fällen nur bei Vorliegen eines Rechtfertigungsgrundes möglich (Einwilligung des Betroffenen; gesetzliche Grundlage, überwiegendes öffentliches oder privates Interesse). Das Schweizerischen Zivilgesetzbuch (ZGB) enthält nur wenige zwingende Bestim- mungen im Bereich Vereinsrecht. Insbesondere überlässt der Gesetzgeber die Fest- setzung der Kompetenzen der einzelnen Organe weitgehend den Vereinen (Statuten). In Art. 64 Abs. 3 ZGB erfährt jedoch der Grundsatz der Vereinsautonomie im Bereich Organisation eine dahingehende Einschränkung, als die Einhaltung der statutarischen Formvorschriften die Ausübung von Mitgliedschaftsrechten nicht erheblich erschweren darf. Dies setzt für den Fall der Einberufung einer ausserordentlichen Mitgliederver- sammlung u.a. voraus, dass dem einzelnen Mitglied Einblick in die Mitgliederdatei ge- währt wird, damit es potentiell Gleichgesinnte überhaupt erreichen und die gesetzliche oder statutarische Mitgliederquote errechnen und einhalten kann. Ohne ein solches Einblicksrecht wäre die Ausübung eines zwingenden Mitgliedschaftsrechtes stark er- schwert oder sogar verunmöglicht. Nach dem Gesagten vertreten wir die Ansicht, dass der Abgabe von Mitgliederlisten an Vereinsmitglieder zum Zweck der Einberu- fung einer ausserordentlichen Mitgliederversammlung aus datenschutzrechtlicher Sicht nichts entgegensteht. Dem Erfordernis eines Rechtfertigungs-grundes ist vorlie- gend in jedem Fall Genüge getan. Aus diesem Grunde erübrigt sich hier das Einholen der Einwilligung bei den einzelnen Vereinsmitgliedern. - Bei der Verletzung von Mit- gliedschaftsrechten kann gestützt auf Art. 75 ZGB der Richter angerufen werden. Um allfällige Missbräuche (Zweckentfremdungen) zu vermeiden, resp. um dem daten- schutzrechtlichen Erfordernis der Transparenz bei der Bearbeitung von Personenda- ten zu genügen, empfiehlt es sich, eine entsprechende Zusicherung vom jeweiligen Mitglied zu verlangen, an welches die Mitgliederliste abgegeben wird. Um dem Miss- brauchsverbot Nachdruck zu verleihen könnte u.U. auch eine dahingehende Statuten- änderung ins Auge gefasst werden.- Das DSG sieht hier keine Formvorschriften vor. Wir wollen an dieser Stelle festhalten, dass bei jeder Bearbeitung von Personendaten im Einzelfall und unter Beachtung der obenerwähnten datenschutzrechtlichen Grund- sätze die Zulässigkeit der Bearbeitung neu überprüft werden muss. Die Frage, ob je- des Vereinsmitglied Anspruch auf die Aushändigung der Mitgliederliste hat, kann so- mit nicht generell mit ja oder nein beantwortet werden. Es kommt immer darauf an, zu welchem Zweck die Liste gebraucht wird und ob sie für die Erreichung des jeweiligen Zwecks tatsächlich erforderlich ist. Soweit es sich nicht wie oben um die Ausübung eines zwingenden Mitgliedschaftsrechtes handelt, für welches die Mitgliederliste erfor- derlich ist, muss eine Einwilligung der Mitglieder eingeholt werden. Es ist nicht not- wendig, dass jedes einzelne Mitglied der betreffenden Listenherausgabe zustimmt. Es genügt, wenn den Mitgliedern ein Widerspruchsrecht gegen die Weitergabe ihrer per-

5. Tätigkeitsbericht 1997/1998 des EDSB 57

sönlichen Daten eingeräumt wird. Dies kann bspw. im Protokoll der Mitgliederver- sammlung, das an alle Mitglieder verschickt wird, unter Einräumung einer angemesse- nen Widerspruchsfrist festgehalten werden. Für die Weitergabe von Adresslisten an Dritte, resp. an Mitglieder für nicht vereinsinsterne Zwecke ist eine Einwilligung erfor- derlich, soweit kein anderer Rechtfertigungsgrund für die Weitergabe gegeben ist. Das im vorhergehenden Absatz zum Thema Missbrauchsverbot Gesagte gilt hier sinnge- mäss.

8.3. Internationales Marketing und Datenschutz

D€€r…€ru…vˆqhˆ†yqv†purChqry†sv…€r‰r…†ˆpur€v‡‡ry†t…r“Bir…†pu…rv ‡rqr…9v…rx‡r…iˆtrˆr6i†h‡“€…x‡r“ˆr…t…Bqr9vr†r…U…rqi…vt‡r†ˆh€v‡ †vpuqh††rvrv€€r…t…††r…rAyˆ‡‰‚ˆr…B†pu‡r…Xr…iˆtˆ†r…r7…vrsx†‡r ‰r…†‡‚ƒs‡9vr†r€Hv†††‡hq‰r…†ˆpurv…ˆhvaˆ†h€€rh…irv‡€v‡hˆ†yqv†pur 9h‡r†puˆ‡“iru…qrr‡trtr“ˆv…xr

In letzter Zeit sind wir vermehrt mit der Problematik konfrontiert worden, dass Perso- nen, die ihr Auskunftsrecht oder Sperrrecht bei einer international tätigen Handelsfir- ma geltend machen wollen, weil sie bspw. keine Werbung wünschen, sehr oft auf tau- be Ohren stossen, weil niemand für die datenschutzrechtlichen Belange verantwortlich zu sein scheint. Dieser Missstand ist auf folgendes zurückzuführen: Einerseits sind sich die Verantwortlichen der betreffenden Firmen über ihre datenschutzrechtlichen Verpflichtungen noch nicht bewusst. Andererseits führt die unübersichtliche Organisa- tionsstruktur dazu, dass sich niemand für datenschutzrechtliche Angelegenheiten ver- antwortlich fühlt. Ungeachtet dessen, wie sich die verschiedenen Fälle im Detail ges- talten mögen, wollen wir die wichtigsten in diesem Zusammenhang stehenden daten- schutzrechtlichen Überlegungen festhalten: Soweit eine Zweigniederlassung einer ausländischen Firma, welche erstere ihren Sitz in der Schweiz hat, Personendaten bearbeitet, finden die Bestimmungen des Schwei- zerischen Bundesgesetzes über den Datenschutz (DSG) Anwendung. Das bedeutet u.a., dass auskunftsersuchenden Personen sämtliche über sie gespeicherten Daten mitgeteilt werden müssen. Um die Auskunftserteilung zu ermöglichen, müssen daher die erforderlichen organisatorischen Massnahmen getroffen werden. Dies erfordert vorerst einmal die Bezeichnung einer zur Auskunftserteilung kompetenten Person. Wenn eine Firma dieser oder einer anderen wesentlichen datenschutzrechtlichen Verpflichtung nicht nachzukommen vermag, so kann der Eidgenössische Daten- schutzbeauftragte (EDSB) abklären, ob die Bearbeitung von Personendaten daten- schutzkonform durchgeführt wird. Jeder Inhaber einer Datensammlung ist demzufolge verpflichtet, bei der Abklärung des Sachverhaltes mitzuwirken. Wird die Mitwirkung verweigert oder werden falsche Auskünfte erteilt, kann sich strafbar machen. Wer Personendaten an Dritte weitergibt, muss zudem seine Datensammlung beim Eidge- nössichen Datenschutzbeauftragten anmelden, soweit die betroffenen Personen da- von keine Kenntnis haben und wenn für die Bearbeitung keine gesetzliche Pflicht be- steht. In Fällen, wo wir mit unseren Abklärungen nicht weiterkommen, weil bei der schweize- rischen Vertretung einer ausländischen Firma niemand für die Datenbearbeitung zu- ständig zu sein scheint, haben wir zudem noch die Möglichkeit, die zuständigen aus- ländischen Datenschutzbehörden am Hauptsitz der betreffenden Firma um Unterstüt- zung bei den weiteren Abklärungen zu bitten, was wir im Falle einer deutschen Firma getan haben.

5. Tätigkeitsbericht 1997/1998 des EDSB 58

( T‡h‡v†‡vx

9.1. Volkszählung 2000 - Eine Übergangsvolkszählung

6†‡h‡‡qr…‰‚…tr†rurr6ˆsuriˆtqr†arpxivqˆt†tri‚‡r†…rqvrTpuhssˆt rvr…Wr…sh††ˆt†t…ˆqyhtrir…rv‡†sB…qvrW‚yx†“uyˆt!qvr‚ƒ‡v€hyrG†ˆtˆ€ qvr@…uriˆt†€r‡u‚qrqr…W‚yx†“uyˆt…h‡v‚ryyˆqˆ‡r…7r…Bpx†vpu‡vtˆtqr…9h ‡r†puˆ‡“r†“ˆtr†‡hy‡rDqvr†r€Tvrv†‡qvrW‚yx†“uyˆt!rvr†‚trh‡r 5ir…tht†‰‚yx†“uyˆtrypurˆ…qh“ˆqvr‡qrXrt‰‚qr…W‚yyr…uriˆtvqvr “ˆxBs‡vtr…rtv†‡r…tr†‡B‡“‡rW‚yx†“uyˆtr‰‚…“ˆir…rv‡r

Nachdem der Bundesrat am 21. Mai 1997 die Botschaft über die Volkszählung 2000 verabschiedet hatte, hat der Ständerat angeregt, das Bundesgesetz über die Volks- zählung (VZG) im Sinne eines inhaltlich transparenten Gesetzes als Ganzes zu revi- dieren. An ihrer Sitzung vom 3./4. November 1997 hat sich die Kommission für Wis- senschaft, Bildung und Kultur einstimmig dafür ausgesprochen, eine Totalrevision des VZG unter dem neuen Namen Bundesgesetz über die Strukturerhebung der Schweiz anzustreben. Der Ständerat hat am 17. 12. 97 die Vorlage zur Totalrevision gutge- heissen. Wir nahmen zu dieser Vorlage sowie auch zur generellen Problematik der zukünftigen indirekten Erhebungen Stellung. Wie in unserem 4. Tätigkeitsbericht bereits ausgeführt, stimmen wir einer Revision des Volkszählungsgesetzes, welche das Statistikgeheimnis und den Persönlichkeits- schutz tangiert, nicht zu. Für den Fall jedoch, dass die Revision des Volkszählungsge- setzes beschlossen wird, haben wir verlangt, dass mindestens einige Voraussetzun- gen erfüllt werden, die den Schutz der Persönlichkeit gewährleisten (siehe dazu 4. Tätigkeitsbericht S. 48). Diese wurden in der Vorlage des Bundesrates berücksichtigt. Auch der Vorschlag zur Totalrevision der Gesetzes - abgesehen von der Ersetzung des Begriffes «Volkszählung» durch den Begriff «Strukturerhebung» - berücksichtigt und verstärkt überdies unsere Anforderungen (was die Verwendung von Volkszäh- lungsdaten für die Erstellung eines Eidgenössischen Gebäude und Wohnregisters anbelangt). Es ist unbestritten, dass damit in Zukunft die Volkszählung registergestützt werden kann, die Führung von kantonalen Registern notwendig ist, die dazu geeignet sind, eine solche statistische Erhebung zu unterstützen. Die Verwendung von Personenda- ten, die zu statistischen Zwecken erhoben wurden, um die kantonalen und kommuna- len Register zu aktualisieren, ist ein unorthodoxes Vorgehen, welches das Zweckbin- dungsgebot durchbricht. Dies, weil eine Verfassungsgrundlage fehlt, welche der Eid- genossenschaft die Gesetzgebungsbefugnis für eine einheitliche Führung des Re- gisterswesens erteilen würde. Anstatt der nun vorgesehenen Aufhebung des Zweckbindungsgebotes wäre die Schaffung der erwähnten Verfassungsgrundlage bereits für die Volkszählung 2000 die optimale Lösung, um die Erhebungsmethode der Volkszählung rationell und unter Be- rücksichtigung des Datenschutzes zu gestalten. Deshalb haben wir in diesem Zu- sammenhang unterstrichen, dass die im Rahmen der Totalrevision vorgeschlagene Verwendung der Volkszählungsdaten zur Aktualisierung der Einwohnerregister sowie zum Aufbau des Eidgenössischen Gebäude- und Wohnregisters nur eine zeitlich be- fristete Ausnahme vom Zweckbindungsgebot darstellt, bis die verfassungsmässige Grundlage für die gesetzliche Vorschriften des Bundes zur Harmonisierung der kanto- nalen und kommunalen Registern geschaffen wird. Weiter hielten wir fest, dass be- reits für die Volkszählung 2010 das Gesetz erneut revidiert werden muss und die

5. Tätigkeitsbericht 1997/1998 des EDSB 59

Volkszählung 2000 eine sogenannte Übergangsvolkszählung ist. Die letztere soll nur dazu dienen, den Weg von der Vollerhebung in die zukünftigen registergestützten Volkszählungen vorzubereiten.

9.2. Zur Problematik der datenschutzkonformen Bearbeitung von geokodierten Da- ten

Br‚x‚qvr…‡r9h‡r†vqrvrTˆ€€r‰r…†puvrqrr…tr‚t…hsv†pur…9h‡rTvrirvuhy ‡rvqr…SrtryBriˆqrx‚‚…qvh‡rT‡…h††rChˆ†ˆ€€r…P…‡†puhs‡ˆ†xr hir…hˆpurv‡r…rtr‚t…hƒuv†purHr…x€hyrhˆsrv†rXv…ˆ…qr‰‚€7AThtrs…ht‡ vr†‚ypur9h‡r‰r…rqr‡r…qrxrˆqv†ir†‚qr…rˆ‡r…rypurW‚…hˆ† †r‡“ˆtrqvrXrv‡r…thir†‚ypur…9h‡rr…s‚ytrqh…s

Wenn geokodierte Daten keine Angaben über bestimmte oder bestimmbare Personen enthalten, können sie grundsätzlich als nicht personenbezogene Daten qualifiziert werden. Sofern von dieser absoluten Überlegung ausgegangen wird, sind auf die Dif- fusion von geokodierten Daten weder die Bestimmungen des Bundesgesetzes über den Datenschutz (DSG) noch die des Bundesstatistikgesetzes (BStatG) anwendbar, weil diese Bestimmungen nur die Weitergabe von Personendaten regeln. Das BStatG bestimmt, wie Personendaten bearbeitet werden dürfen, wenn sie für sta- tistische Zwecke erhoben werden. Danach sind Personendaten grundsätzlich nach dem Abschluss einer Erhebung zu anonymisieren (siehe Art. 15 BStatG). Auch die Resultate von Erhebungen dürfen nur in einer Form zugänglich gemacht werden, wel- che keine Rückschlüsse auf bestimmte Personen erlaubt (siehe Art. 18 BStatG). Schliesslich sieht Art. 14 BStatG vor, dass Daten, die für statistische Zwecke erhoben werden, nur für nichtstatistische (beispielsweise gewerbliche, wirtschaftliche) Zwecke verwendet werden dürfen, wenn ein Bundesgesetz dies ausdrücklich vorsieht. Die entscheidenden Fragen lauten: Wann und unter welchen Voraussetzungen kön- nen Daten als anonym bezeichnet werden, inwiefern und unter welchen Voraus- setzungen dürfen geokodierte Daten an Dritte weitergegeben werden? Gemäss Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz können Daten als anonym qualifiziert werden, sofern die Identität der betroffenen Per- sonen nicht mehr oder nur noch mit ausserordentlichem Aufwand festgestellt werden kann. Dies gilt für die Veröffentlichung von statistischen Resultaten und infolgedessen auch für die Weitergabe von geokodierten Daten. Wenn davon ausgegangen werden kann, dass die geokodierten Daten ohne ausserordentlichen Aufwand mit Personen- daten verknüpft werden können, hat die Weitergabe dieser Daten nur unter den Vor- aussetzungen zu erfolgen, die in Art. 14, 15, 16 und 17 des BStatG aufgezählt wer- den.

Bei dieser Gelegenheit haben wir generell auf einige wichtige Überlegungen zur Prob- lematik der geokodierten Daten hingewiesen:

• Die Speicherung, die Auswertung und die Verknüpfung von geokodierten In- formationen mit Personendaten macht die GIS Informationssysteme zu den wichtigsten und effektivsten Instrumenten für die Auswertung und Analyse von personenbezogenen Informationen.

5. Tätigkeitsbericht 1997/1998 des EDSB 60

• Die GIS Technologie verfügt über das grösste informationstechnologische Po- tential und bietet Möglichkeiten an, weit in die Persönlichkeitsphäre des Einzel- nen einzudringen.

• Unbestritten ist, dass der Einzelne weder den Detaillierungsgrad der Informatio- nen noch die Informationen, die über ihn bearbeitet und an Dritte weitergege- ben werden können, kennt.

• Zweifelsohne werden in Zukunft die Suchkapazitäten in solchen Datenbestän- den enorm gesteigert werden können. Die daraus neu entstehenden Kategori- sierungsmöglichkeiten für wirtschaftliche Auswertungen sind von enormer Be- deutung.

• Die Einsetzung und Nutzung von geokodierten Daten und Systemen kann vom grössten Teil der Bürger als ein in ihre Privatsphäre eindringendes Werkzeug verstanden werden. Um eine Überreaktionder Bürger zu vermeiden und Inves- titionen in GIS Datenbestände nicht unnötig zu gefährden, müssen von Anfang an vernünftige Massnahmen für den Schutz der Privatsphäre geplant und um- gesetzt werden.

• Über detaillierte geokodierte Informationen verfügen zur Zeit nur die staatlichen Stellen (Bsp. BFS). Diese Informationen werden zur Zeit nur für bestimmte staatliche Zwecke (statistische) eingesetzt. Mit dem Beginn der Weitergabe solcher Daten an nicht staatliche Stellen werden die Daten auch für andere Zwecke (gewerbliche) eingesetzt werden. Somit stellt sich die Frage der Zweck- bestimmung der Daten auch im Hinblick auf das schweizerische BStatG.

• Die Zusammenstellung und Verknüpfung geokodierter Daten mit anderen Da- ten (unter anderem auch Personendaten) ist bereits ohne grösseren Aufwand möglich. In der Zukunft wird es einfacher sein, allerlei Verknüpfungen mit den verschiedensten Datenbeständen zu erreichen. Das sogenannte «cross- matching» Verfahren wird bereits heute eingesetzt und die Tendenz ist stei- gend.

• Der typische Empfänger geokodierter Daten wünscht qualifizierte Datenmerk- male (geokodierte Daten) in einer oder verschiedenen Kombinationen für be- stimmte Regionen eines Landes. Diese Daten können mit Adressdaten oder anderen Personendaten unter der Berücksichtigung verschiedener Kriterien (beispielsweise Region, Strasse, Kanton, Sprache usw.) verknüpft werden und aufschlussreiche Informationen über die eine oder andere Bevölkerungsgruppe offenbaren.

• In der Regel werden geokodierte Daten ohne Personendaten weitergegeben. Die Verknüpfung beispielsweise über Telefonbuch-Adressen (in Form von CD- ROM’s, die auf den Markt erhältlich sind) ist jedoch ohne grossen Aufwand möglich. Adressdaten mit bereits vorhandenen Daten (eigene Kundendaten- sammlung) verknüpft mit geokodierten Daten können somit aufschlussreiche Informationen beispielsweise über das Konsumverhalten der Einzelnen geben, indem die systematische Überprüfung der Daten in verschiedenen Datenquel- len vorgenommen wird. Infolgedessen können im Bereich des privaten Sektors geokodierte Daten in Verknüpfung mit Personendaten in den Bereichen Marke-

5. Tätigkeitsbericht 1997/1998 des EDSB 61

ting, Versicherung, Banken, Immobilien -um nur einige zu nennen- verwendet werden. Es besteht eine Vielzahl von kommerziellen Nutzungsmöglichkeiten in Verbindung mit geokodierten Daten, die ohne Wissen und Zustimmung des Einzelnen erfolgen.

• In dieser Angelegenheit muss deshalb das fundamentale Erfordernis jeder rechtmässigen Datenbearbeitung, nämlich die unmissverständliche Information und Einwilligung der betroffenen Person zur Bearbeitung ihrer Daten gegeben sein.

• Wenn in dieser Vorbereitungsphase bereits für die Überschaubarkeit und Transparenz der Datenbearbeitungen mit GIS - Daten Vorkehrungen getroffen werden, kann die Gefahr der Einschränkung der nützlichen Verwendungen von GIS Daten erheblich vermindert werden.

Ausschlaggebend wird sein, welche Daten sogenannte GIS Datenbanken beinhalten dürfen. Das weitere Vorgehen in dieser Problematik kann wie folgt bestimmt werden:

• Abschliessende Bestimmung der «unzulässigen» Daten.
• Wenn der Detaillierungsgrad der geokodierten Daten gross ist (mehrere Variab- len), dann ist entweder der Verwendungszweck einzuschränken oder die Ag- gregierung der Daten zu erhöhen.
• Abschliessende Definition der Verwendungszwecke.
• Sicherheitsmassnahmen bestimmen.
• Und schliesslich die Rechte der Betroffenen gewährleisten.

Würden geokodierte Daten zur Verfügung (Bsp. CD-ROM) gestellt oder vertrieben, könnte die Verknüpfung mit Personendaten gesperrt werden. Eine andere Möglichkeit wäre, je nach Detaillierungsgrad der zur Verfügung gestellten GEO Daten, die Verknüpfungsmöglichkeiten dementsprechend zu beschränken. Dies würde bedeuten, je detaillierter die geokodierten Daten sind, desto eingeschränkter wären die Verknüpfungsmöglichkeiten mit Personendaten. Beispielsweise verlangt das Statistische Büro der USA, dass geokodierte Daten mit einen Detaillierungsgrad unter 100.000 Personen nicht für den privaten Gebrauch zur Verfügung gestellt wer- den dürfen.

Bei der Lösungssuche zur Bearbeitung von geokodierten Daten wird entscheidend sein, ob die Betreiber von GIS - Datenbanken durch die Gewährleistung der Persön- lichkeitsrechte den GIS-Technologien und Datenbanken zur notwendigen sozialen und gesellschaftlichen Akzeptanz verhelfen können.

5. Tätigkeitsbericht 1997/1998 des EDSB 62

DD X@DU@S@UC@H@I

Fˆqrxh…‡r

1.1. Die Bearbeitung von Personendaten beim Einsatz von Kundenkarten

Brr…ryyr†

B…ˆq†‡“yvpu†‡ru‡h€6shtwrqr…Shih‡‡tru…ˆtqvr6i†vpu‡qrFˆqr†‚rt vr€tyvpuhqh†V‡r…ru€r“ˆivqr9hirvv†‡wrq‚puqvrU…h†ƒh…r“rvrˆ r…y††yvpurW‚…hˆ††r‡“ˆtqh€v‡qr…9ˆ…pu†puv‡‡†x‚†ˆ€r‡qvrƒ‚‡r‡vryyrW‚…‡rvyr ‚qr…Ihpu‡rvyrrvr…Fˆqrxh…‡rr…xrrxhˆqh†puyvr††rqqh…Bir…s…rvr‡ †purvqrxh

Immer mehr Unternehmen wollen den Geschäftserfolg optimieren. Dies ist durchaus legitim, doch muss bei der Anpreisung solcher Dienstleitungen mittels Kundenkarten eine transparente und ausgewogene Information stattfinden. Wir verlangen, das ein potentieller Kundenkarteninhaber nicht nur die Wahl haben soll, ob er sein Konsum- profil mittels einer Einwilligungserklärung freigeben möchte. Vielmehr darf der Kunde nicht nur über die diversen Vorteile der Kundenkarte, sondern muss auch gleichzeitig über die beabsichtigten Bearbeitungen seiner Konsumdaten informiert werden. Insbe- sondere ist mitzuteilen, in welchem Zusammenhang seine Daten verwendet und ob sie an Dritte weitergegeben werden. Falls die Daten weitergegeben werden, ist der Verwendungszweck ebenfalls anzugeben. Erst wenn nicht nur über die Rabatt- oder andere Begünstigungen, sondern auch über die beabsichtigten Datenbearbeitungen der Konsumdaten informiert wird, kann von einer klaren, ausgewogenen und fairen Information gegenüber den Kunden gespro- chen werden. In der Folge kann der Kunde bewusst über Vor- oder Nachteile einer Kundenkarte frei entscheiden bzw. ob es sich für ihn lohnt, die Karte zu beziehen.

Fˆqrxh…‡rH8ˆ€ˆyˆ†

6ˆ†qr€6‡…htsB…rvrFˆqrxh…‡r€ˆ††qvrir‰‚…†‡rurqr7rh…irv‡ˆtxyh…ur… ‰‚…trurqh€v‡qr…Fˆqrhi†pu‡“rxh‚ir…qvr†r7rh…irv‡ˆtB†pu‡‚qr… vpu‡7rvqr…H8ˆ€ˆyˆ†Fh…‡rshyyrQr…†yvpuxrv‡†ƒ…‚svyrhrypur“ˆ†‡h‡v†‡v †purˆq€h…xr‡vt€††vtrarpxr‰r…rqr‡r…qr9vrFˆqr€B††rqhirv s…rvr‡†purvqrxr‚i†vrvu…r9h‡r“ˆqvr†rarpxrƒ…rv†trir‚yyr‚qr… ‚urFˆqr…hih‡‡rvxhˆsr€pu‡r

Der Migros-Genossenschaftsbund ersuchte uns, einen datenschutzkonformen Antrag mit Allgemeinen Geschäftsbedingungen für ein neues Rabatt-System zu überprüfen. Dabei wiesen wir darauf hin, dass der Kunde bei der Beschaffung über den Zweck der beabsichtigten Datenbearbeitung informiert werden müsse. Da lediglich nur diejenigen Daten beschafft werden sollten, die für die Erreichung eines bestimmten Zweckes ge- eignet und tatsächlich erforderlich sind, genügen Name, Vorname und Adresse des Kunden. Wir verlangten, dass die Angabe des Geburtsdatums sowie die Nennung weiterer im gleichen Haushalt lebender Familienangehörige freiwillig sein müsse. Mündige Personen, die regelmässig in der Migros einkaufen, müssten auch nicht mit Abschluss jedes Kaufvertrages ihr Geburtsdatum angeben.

5. Tätigkeitsbericht 1997/1998 des EDSB 63

Aus dem Antrag für eine M-Cumulus Kundenkarte ist nun ersichtlich, dass die Perso- nendaten zu Marketing- und Statistikzwecken bearbeitet werden. Wie zudem aus den Allgemeinen Geschäftsbedingungen hervorgeht, werden die Daten anschliessend in- nerhalb der ganzen Migros-Gemeinschaft, bestehend aus Ex Libris, Migros- Clubschulen, Migros-Tankstellen, Lebensmittelläden etc. ausgetauscht. Damit hat die Migros einerseits die Möglichkeit, Konsumprofile zu erstellen, auszuwerten und ihren Kunden spezifische Werbung zuzustellen. Andererseits wird das Sammeln von Bo- nuspunkten mit einem bescheidenen Rabatt belohnt. Die Kunden werden jedoch auf die vorgesehene Bearbeitung aufmerksam gemacht und können dazu ihre Einwilli- gung geben. Obwohl Persönlichkeitsprofile innerhalb der Migros-Gemeinschaft (Dritte) bekanntgegeben werden, rechtfertigt die Einwilligung der betroffenen Person diese Bearbeitung von Personendaten. Es bleibt allerdings jeder Person freigestellt, mit ei- ner M-Cumulus-Karte einzukaufen und Daten über sich und allenfalls über Personen, die im selben Haushalt leben, zur Erstellung von Persönlichkeitsprofilen preiszugeben oder darauf zu verzichten. Falls eine Person nur die M-Cumulus-Karte ohne Werbung wünscht und dies entsprechend ankreuzt, dürften ihre Daten ausschliesslich für die Rabattberechnung und statistische Auswertung jedoch nicht zu Marketingzwecken verwendet werden. Da die Daten somit keinem personenbezogenen Bearbeitungs- zweck dienen dürfen, dürfen die Konsumdaten nur anonym bearbeitet werden. Die grundsätzliche Problematik bei der Datenbearbeitung von Kundenkarten stellt sich jedoch auch bei der Cumulus-Karte (siehe dazu oben Generelles). Der Coop-Genossenschaftsbund pflegt seinen Mitgliedern ebenfalls eine Kundenkarte abzugeben, die zu Vergünstigungen führt. Anders als bei Migros sammelt Coop zur Zeit keine Personendaten.

! Wr…ssr‡yvpuˆt‰‚Qr…†‚rqh‡r

2.1. Publikation von Namen in Verbindung mit nachrichtenlosen Vermögenswerten bei Banken

W‚…qr…Wr…ssr‡yvpuˆt‰‚Ih€rˆqX‚u‚…‡r‰‚Qr…†‚r€v‡hpu…vpu‡ry‚ †rWr…€tr†r…‡r€B††rhyyr€tyvpur6†‡…rtˆtrˆ‡r…‚€€rr…qr ˆ€qvrQr…†‚rqv…rx‡“ˆx‚‡hx‡vr…rT‚sr…9h‡rhˆpuBir…D‡r…r‡“ˆttyvpu tr€hpu‡r…qrr€ƒsvruy‡†vpurvr6is…htr‰vhTˆpux…v‡r…vr

Die Schweizerische Bankiervereinigung (SBVg) veröffentlichte im Juli 1997 eine Per- sonenliste, bestehend aus 1'872 Namen und Vornamen von nichtschweizerischen Kunden, die vor Ende des Zweiten Weltkrieges bei Banken in der Schweiz ein Konto eröffneten. Die Publikation erfolgte in dengrössten Tageszeitungen in 27 Ländern sowie auf Internet. Die veröffentlichte Liste enthielt Namen von Personen, deren aktuelle Adresse den Banken vorlag oder teilweise einfach hätte in Erfahrung gebracht werden können. Ferner wurden Namen publiziert, die in keinem Zusammenhang mit „Shoah-Geldern“ standen oder von Konten stammten, welche weit nach 1945 eröffnet worden waren. Einige Holocaust-Überlebende sowie Angehörige von Opfern waren bestürzt, dass sie von den Banken vor der Publikation nicht informiert wurden und sich derart mit der Vergangenheit konfrontiert sahen. Die SBVg begründete das Vorgehen mit dem gros- sen Druck, der auf die drei Schweizer Grossbanken in den USA ausgeübt worden sei. Eine zweite Publikation von 15'000 bis 20'000 Schweizer-Berechtigten war für Oktober

5. Tätigkeitsbericht 1997/1998 des EDSB 64

1997 vorgesehen, wobei sich anlässlich einer Besprechung zwischen der SBVg und uns herausstellte, dass es sich bei den Schweizer-Berechtigten um weitaus mehr als der erwarteten 15'000 bis 20'000 Personennamen bzw. Berechtigten an nachrichten- losen Sparheften, Konti und Depots handle. In der Folge haben wir der SBVg empfohlen, vor einer zweiten Veröffentlichung der Namen die Richtigkeit der Daten zu prüfen und die Namensliste beispielsweise mit elektronischen Telefonverzeichnissen, eventuell öffentlichen Registern, den bereits eingegangenen Anmeldungen beim Ombudsmann der Banken und der Atag, Ernst und Young sowie mit Adressen von jüdischen Organisationen wie etwa dem Wiesen- thal Center zu vergleichen. Anschliessend wurden die nicht gefundenen Namen von Schweizer und Nichtschweizer-Kunden in Listen auf Papier zusammengestellt. Beide Listen waren sowohl bei den Banken als auch bei Atag Ernst und Young erhältlich. Über Internet wurde nicht die ganze Liste der Berechtigten, sondern nur die Liste der ausländischen Personen zugänglich gemacht. Durch technische Sicherheitsmassnahmen wurden die Daten insbesondere gegen unbefugtes Bearbeiten geschützt. Überdies durfte die Abfrage nur einzelfallweise und nach bestimmten Suchkriterien wie beispielsweise Eingabe von Namen oder Adresse erfolgen. Schliesslich wurde auf Wunsch des jüdischen Weltkongresses die Liste der nichtschweizerischen Berechtigten zusätzlich in einigen grossen ausländischen Zei- tungen veröffentlicht.

" Hvyv‡…r†r

3.1. Die Revision der Militärgesetzgebung

D€Shu€rqr…Sr‰v†v‚qr†7ˆqr†tr†r‡“r†Bir…qvr6…€rrˆqqvrHvyv‡…‰r…hy‡ˆt HBv†‡rv@‡ˆ…sqr…tr†r‡“yvpurB…ˆqyhtrsB…9h‡rirh…irv‡ˆtrv€@vqtr ††v†pur9rƒh…‡r€r‡sB…Wr…‡rvqvtˆt7r‰yxr…ˆt††puˆ‡“ˆqTƒ‚…‡W7Tv† ir†‚qr…rsB…qvr7rh…irv‡ˆt‰‚Br†ˆqurv‡†qh‡rhˆ†trh…irv‡r‡‚…qrXv…uhir qr@‡ˆ…sqr…tr†r‡“yvpurB…ˆqyhtrsB…qvr7rh…irv‡ˆt‰‚Br†ˆqurv‡†qh‡rsB… tˆ‡irsˆqrˆqtyrvpu“rv‡vtqh†Wr…‡rvqvtˆt†qrƒh…‡r€r‡htrvr†rhˆpuhqr…r 9h‡rirh…irv‡ˆtr…rpu‡yvpu“ˆ‰r…hxr…6ˆst…ˆqqr…aˆ†vpur…ˆtqh††qr…Ihpu …vpu‡rqvr†‡xrvr9h‡r†h€€yˆtrir‡…rvi‡uhirv…‰‚…tr†puyhtrqvr6ˆ†hu €r…rtryˆtsB…qvr6€ryqˆtqr…9h‡r†h€€yˆtrirv€@vqt9h‡r†puˆ‡“irhˆs ‡…ht‡rvqr…Ihpu…vpu‡rqvr†‡‰r…‚…qˆtr…†h‡“y‚†“ˆ†‡…rvpur†vrurU‡vtxrv‡†ir …vpu‡ (($(%T&%

Wir haben den uns vorgelegten Entwurf einer formellgesetzlichen Grundlage für die Bearbeitung von Gesundheitsdaten im VBS überprüft und für gut befunden. Hingegen verfügt die Bearbeitung der fliegermedizinischen Daten über keine genügende gesetz- liche Grundlage. Wir haben das VBS angewiesen, sowohl für die Bearbeitung der flie- germedizinischen Daten als auch für die Datenbearbeitungen in Zusammenhang mit dem Management Development, dem Einsatz der Gelben Mützen, dem Zivilschutz und der Sportschule Magglingen rechtliche Grundlagen zu schaffen. Eine Besprechung mit den Verantwortlichen des Nachrichtendienstes hat ergeben, dass letzterer keine Datensammlungen im Sinne des DSG betreibt. Personendaten können ausnahmsweise in den Informationssammlungen des Nachrichtendienstes erfasst werden; sie erfahren jedoch keine systematische Bearbeitung durch den Nach- richtendienst. Wir haben daher vorgeschlagen, die Ausnahmeregelung für die Anmel- dung der Datensammlungen des Nachrichtendienstes beim Datenschutzbeauftragten

5. Tätigkeitsbericht 1997/1998 des EDSB 65

in der Nachrichtendienstverordnung ersatzlos zu streichen. Wir betonten jedoch, dass der Nachrichtendienst, wie die Staatsschutzbehörden, der Überwachung des Eidg. Datenschutzbeauftragten unterstellt ist. Im übrigen haben wir uns bereit erklärt, falls der Nachrichtendienst zukünftig Personendaten im Sinne des DSG systematisch be- arbeiten sollte, die Regelung des Meldeverfahrens analog zur Datenbearbeitung im präventiven Staatsschutz zuzulassen.

6…puv‰r†r

4.1. Archivgesetz

9h†‰‚€7ˆqr†…h‡‰‚…tryrt‡r7ˆqr†tr†r‡“Bir…qh†6…puv‰r†rˆ…qrvqr@vq tr††v†purS‡rir…h‡r

Die staatspolitische Kommission des Nationalrates einigte sich wie auch der Ständerat für besonders schützenswerte Personendaten und Persönlichkeitsprofile auf eine Schutzfrist von 50 Jahren seit dem jüngsten Dokument. Die Kommission vertritt die Ansicht, dass eine Verlängerung dieser Schutzfrist aus überwiegend öffentlichen oder privaten Interessen vorgenommen werden könne. Als überwiegend privates Interesse wird von der Kommission die Intimssphäre der betroffenen Person angesehen. Sämt- liche anderen Aspekte, die nach dem DSG als besonders schützenswerte Personen- daten gelten, wie religiöse, weltanschauliche, politische oder gewerkschaftliche Tätig- keiten, Gesundheit und Rassenzugehörigkeit, Massnahmen der sozialen Hilfe sowie administrative und strafrechtliche Verfolgungen und Sanktionen würden nicht als ü- berwiegendes privates Interesse angesehen werden. Unserer Meinung nach handelt es sich aus Sicht des Persönlichkeitsschutzes um eine nicht vertretbare Position, wenn man bedenkt, dass aufgrund dieser Regelung über lebende Personen Gesund- heitsdaten, Informationen über soziale Massnahmen, administrative und strafrechtli- che Verfolgungen und Sanktionen der Öffentlichkeit zugänglich gemacht werden dür- fen. Ein Grossteil dieser Informationen befinden sich z.B. in den Personaldossiers der Bundesverwaltung des gesamten Personals, die auch im Bundesarchiv gelagert und nach 50 Jahren der Öffentlichkeit zugänglich gemacht werden dürfen. Im Zeitpunkt der Zugänglichmachung werden nicht sämtliche Personen bereits gestorben sein.

$ 7rxh‡thir‰‚Qr…†‚rqh‡r

5.1. Die Einwilligungsklausel für das Erscheinen von Inseraten in Online-Diensten

9vr@vvyyvtˆt†xyhˆ†rysB…qvrWr…ssr‡yvpuˆt‰‚D†r…h‡rvPyvr9vr†‡r‰‚… hyyr€v€D‡r…r‡qvrUrvy‚qr…6uhtqr†Wr…‡…ht†“v†purqr€D†r…r‡rˆqqr… sB…qh†@…†purvrqr†D†r…h‡†‰r…h‡‚…‡yvpurBr†ryy†puhs‡ivyqr‡tvy‡vr…†‡r…Gvvr sB…T‡ryyrhtri‚‡rTvrxhhˆpuhˆshqr…rD†r…h‡rqvrQr…†‚rqh‡rr‡uhy‡r htrhq‡r…qr

Die Einwilligungsklausel wurde auf Anfrage verschiedener Akteure aus dem Bereich der Stellenangebotsinserate in Online-Diensten (vor allem im Internet) erarbeitet. Sie betrifft in erster Linie die Übermittlung von Personendaten ins Ausland, namentlich wenn im betreffenden Land ein der schweizerischen Datenschutzgesetzgebung

5. Tätigkeitsbericht 1997/1998 des EDSB 66

gleichwertiger Datenschutz fehlt. Die Erklärung betrifft hauptsächlich die Verträge zwi- schen Inserenten einerseits und Werbefirmen, Zeitungsverlagen und Betreibern von Online-Diensten andererseits. Sie kann auch auf andere Inserate mit Personendaten in Online-Diensten angewandt werden (Verkauf von Fahrzeugen, Vermietung von Wohnungen usw.). Allerdings deckt die Klausel nur die datenschutzrechtlichen Aspek- te ab und befreit die für das Erscheinen verantwortliche Gesellschaft nicht von ihrer Verantwortung bei möglichen Schäden, die auf die inhärenten Risiken eines Online- Dienstes wie Internet zurückgehen. Wir haben zudem die Verantwortlichen für die Anzeigenverbreitung daran erinnert, dass keine Beeinträchtigung der Persönlichkeit vorliegt, wenn die betreffende Person ihre Daten allgemein zugänglich gemacht hat - was auf Inserate zutrifft - und die Be- arbeitung nicht ausdrücklich verweigert hat. In diesem Fall benötigt der Betreiber von Online-Diensten die Einwilligung der betroffenen Person nicht, sondern muss lediglich einen formellen Einwand gegen die Verbreitung des Inserats beachten. Sobald aller- dings Daten im Internet verfügbar sind, können sie in der ganzen Welt bekanntgege- ben werden - auch in Ländern ohne gleichwertigen Datenschutz. Diese Situation stellt eine unerlaubte Beeinträchtigung der Persönlichkeit dar, welche zumindest durch die Einwilligung der betroffenen Person zu rechtfertigen ist. Aus diesem Grund haben wir den Verantwortlichen der Betreiber von Internet-Sites geraten, die Einwilligung der betroffenen Personen einzuholen. Ein Modell für eine Einwilligungsklausel befindet sich im Anhang des vorliegenden Berichts, siehe Seite 103.

5.2. Auslagerung von Zolldaten an private Firmen zur Bonitätsprüfung?

9vr6ˆ†yhtr…ˆt‰‚Qr…†‚rqh‡rqr†7ˆqr†hƒ…v‰h‡rAv…€rv†‡hˆ†‰r…†puvrqr rB…BqrurvxryTpu‚hˆst…ˆqqr†‰vry†rv‡vtrBr†pus‡†“rpx†xr†vpu D‡r…r††rx‚syvx‡rr…trir9rr…s‚…qr…yvpurF‚‡…‚yyrqˆ…puqr7ˆq†‡ru‡€t yvpur…rv†rqh†Br†pus‡†trurv€v†r‡trtr9vrT‡rˆr…ƒsyvpu‡vtrrypurvu…r9h ‡rhˆst…ˆqrvr…Srpu‡†ƒsyvpu‡hiyvrsr…€B††ruhirvqr††r6†ƒ…ˆpuhˆsrvr vwrqr…Cv†vpu‡rvhqs…rvr9h‡rirh…irv‡ˆtˆqhˆsrvruv…rvpurqrSrpu‡† t…ˆqyhtr

Gestützt auf die einschlägigen Vorschriften des Mehrwertsteuerrechts ist die Eidg. Zollverwaltung (EZV) gehalten, den zoll- und mehrwertsteuerpflichtigen Importeuren und Exporteuren grundsätzlich eine Zahlungsfrist von 60 Tagen zu gewähren. Die be- troffenen ca. 14’000 Handelsfirmen besitzen ein entsprechendes Konto bei der EZV. Die EZV bewirtschaftet die anfallenden Daten mit eigenen EDV-Mitteln. Wegen der schwierigen Wirtschaftslage sind indessen regelmässig jährliche Abgabenausfälle in Millionenhöhe (2-3 Mio. Franken pro Jahr) zu verzeichnen. Diese Ausfälle könnten bei einer rascheren und effizienteren Bonitätsprüfung, als sie der EZV mit ihren Mitteln möglich ist, vermieden werden. Aus Zeit- und Ressourcengründen ist es der EZV nicht möglich, alleine oder in Zusammenarbeit mit anderen Bundesorganen eine Boni- tätsprüfungs-Datenbank einzurichten. Die EZV erwägt daher, die Bonitätsprüfung ei- ner hiefür spezialisierten privaten Firma zu übertragen. Diese soll zu diesem Zweck ausschliesslich die Adressdaten (inkl. Firmen- und Konto-Nr.) der betroffenen Han- delsfirmen zur ständigen Prüfung erhalten und der EZV bei allfälligen Betreibungen oder Konkursen sogleich Meldung erstatten. Aus datenschutzrechtlicher Sicht ist festzuhalten, dass für die vorgesehene Datenbe- arbeitung eine Rechtsgrundlage auf Verordnungsstufe erforderlich wäre. Die Haupt- schwierigkeit ist indessen angesichts möglicher konkurrierender Interessen sowie der technischen Komplexität in der Gewährleistung eines rechtsgenüglichen Schutzes der

5. Tätigkeitsbericht 1997/1998 des EDSB 67

Zoll- und Steuerdaten vor unbefugtem Weiterbearbeiten über den Erhebungszweck hinaus durch den privaten Dritten zu erblicken. Die einzelnen Schutzmassnahmen müssen objektiv geeignet sein und zusammen mit den Verantwortlichkeiten in einem Vertrag geregelt werden. Die Hauptverantwortung für die korrekte Datenbearbeitung bleibt beim Bundesorgan (Art. 16 Abs. 1 DSG). Die Einführung eines Pilotversuchs vor Erlass einer Verordnung ist rechtlich heikel und zumindest von der ausdrücklichen Zustimmung der Betroffenen abhängig zu machen. Die EZV hat sich daher sogleich bereit erklärt, bei den betroffenen Firmen eine Umfrage zu starten und dem EDSB zu gegebener Zeit einen Outsourcing-Vertrag und Datenschutzvorschriften zur Stellung- nahme vorzulegen.

5.3. Bekanntgabe von Adressen des ZAR für eine Telefonumfrage im Rahmen ei- nes Forschungsprojekts

6q…r††rhˆ†qr€ar‡…hyr6ˆ†yqr……rtv†‡r…a6S“ˆ…7vyqˆtrvr…“ˆsyyvtr T‡vpuƒ…‚irsB…rvrUryrs‚ˆ€s…htrv€Shu€rrvr†A‚…†puˆt†ƒ…‚wrx‡r†qr†Ih‡v‚ hys‚q†qB…srˆ…irxh‡trtrirr…qrrqvrir‡…‚ssrrQr…†‚rhˆ†…rv purqvs‚…€vr…‡ˆqqvrWr…‡…hˆyvpuxrv‡ˆqTvpur…urv‡qr…9h‡rtru…yrv†‡r‡†vq

Ein Universitätsinstitut ersuchte das BFA um eine Adressliste von Bewohnern türki- scher und italienischer Nationalität. Anhand dieser Liste sollte eine zufällige Stichpro- be für eine Telefonumfrage, welche ein Meinungsforschungsinstitut im Rahmen eines Projektes des Schweizerischen Nationalfonds zur Förderung der wissenschaftlichen Forschung durchführt, zusammengestellt werden. Wir wurden vom BFA um Stellung- nahme gebeten und haben der Bekanntgabe unter folgenden Auflagen zugestimmt:

• Verpflichtung des Forschers, die bekanntgegebenen Daten ausschliesslich zur Bildung der für die Telefonumfrage und für das Suchen von Telefonnummern erforderlichen Stichprobe zu verwenden;
• Vernichtung der Daten unmittelbar nach der Durchführung der Telefonumfrage, d.h. spätestens drei Monate nach der Bekanntgabe, wobei der Forscher das BFA über die Vernichtung informiert;
• Verschlossene Aufbewahrung der Daten, getrennt von den übrigen Personen- daten;
• Beschränkung des Zugriffs auf den Forscher und seinen Assistenten;
• Weiterleitung der Telefonnummerliste - ohne Angabe von Namen oder anderen Personendaten der in der Stichprobe enthaltenen Personen - durch den For- scher ausschliesslich an das ausgewählte Meinungsforschungsinstitut;
• Verpflichtung des Forschers zu vermeiden, dass das Meinungsforschungsinsti- tut Personendaten erhebt und aufbewahrt, welche die befragten Personen identifizieren - ausgenommen die Angaben betreffend jene Personen, die in ei- ne persönliche Kontaktaufnahme eingewilligt haben; in diesem Fall müssen die Identifizierungsdaten getrennt von den übrigen Daten der Umfrage aufbewahrt und nach Abschluss der Umfrage vernichtet werden. Nach Beendigung der Te- lefongespräche sind auch die Telefonnummern zu vernichten;
• Verpflichtung des Forschers, sicherzustellen, dass das Meinungsforschungsin- stitut die befragten Personen über den Zweck der Umfrage, die Stelle, für wel- che die Umfrage bestimmt ist, die Freiwilligkeit der Antworten und über die ver- trauliche und anonyme Datenbenutzung ausschliesslich zu Statistik- oder For- schungszwecken informiert.

5. Tätigkeitsbericht 1997/1998 des EDSB 68

% 9h‡r†puˆ‡“ˆq…rpu‡yvpurShu€rirqvtˆtr

6.1. Anpassung von Bundesgesetzen ans Datenschutzgesetz: Einige interessante Beispiele

9h‡r†h€€yˆtr€v‡ir†‚qr…††puB‡“r†r…‡r9h‡r‚qr…Qr…†yvpuxrv‡†ƒ…‚svyr qB…s‡rhiqr€ Eˆyv (('ˆ…‚puirB‡“‡r…qrrrvs‚…€ryyr†Br†r‡“r† hˆ†q…Bpxyvpur…yhˆi‡9h†‰r…yht‡qh†9h‡r†puˆ‡“tr†r‡“Pi‚uy‰vryr†‚ypur9h‡r †h€€yˆtrir†‡rur‚qr…vqryr‡“‡rEhu…r‚puqh“ˆtrx‚€€r†vqˆ…qr ˆ…rvtrSrpu‡†t…ˆqyhtrhtrƒh††‡9vrr…s‚yt‡r6ƒh††ˆtr†vq“h…„ˆhyv ‡h‡v‰tˆ‡q‚puir†‡ru‡v†tr†h€‡rvt…‚††r†9rsv“v‡6ˆpuqvrhqr…rBr†r‡“r€B† †rwr‡“‡q…vtrqhtrƒh††‡r…qrXrvytˆ‡rW‚…yhtrir†‡rur†‚yy‡rqh†wrq‚pu xrvrˆBir…vqih…rQ…‚iyr€r‰r…ˆ…†hpur

In einem in VPB 60.77 veröffentlichten Gutachten, in einem Rundschreiben an alle Departemente und Bundesämter sowie in den beiden letzten Tätigkeitsberichten (1996/97 S. 64, 1995/96 S. 64) haben wir bereits auf das Problem aufmerksam ge- macht. Das Datenschutzgesetz verlangt, dass 5 Jahre nach seinem Inkrafttreten Da- tensammlungen mit sensiblen Personendaten nur noch benützt werden dürfen, wenn ein formelles Gesetz dies ausdrücklich erlaubt. Diese Frist ist am 1. Juli 1998 abgelau- fen. Wir hatten in letzter Zeit verschiedene interessante Gesetzgebungsprojekte zu beurteilen, welche dieses wichtige Datenschutzanliegen gut umgesetzt haben. Sie sind zum Teil bereits in Kraft getreten oder werden in absehbarer Zeit in Kraft gesetzt. Die Datensammlungen und Datenbearbeitungen, die darin geregelt werden, sind so- mit rechtmässig. Für die weitaus grössere Zahl von Sammlungen mit sensiblen Daten und die damit zusammenhängenden sensiblen Datenbearbeitungen fehlen indessen Rechtsgrundlagen und sind teilweise noch nicht einmal geplant. Diese Datensamm- lungen und Datenbearbeitungen müssen somit als unrechtmässig bezeichnet werden. Diesem Zustand muss dringend Abhilfe geschaffen werden. Daher hat der Bundesrat die Bundeskanzlei und die Departemente beauftragt, ihm ein Inventar über den Stand der gesetzlichen Anpassungsarbeiten und einen Plan zur raschen Schaffung der feh- lenden Rechtsgrundlagen vorzulegen. Eine «Sammelbotschaft» mit den nötigen An- passungsvorschlägen soll noch dieses Jahr erarbeitet werden. Der Ständerat hat zu- dem eine Initiative seiner Kommission für Rechtsfragen in Form eines dringliches Bundesbeschlusses akzeptiert, welche die 5 -jährige Übergangsfrist generell bis Ende 2000 verlängert. Das Ziel des dringliches Bundesbeschlusses ist, die Anforderungen des DSG zumindest materiell bis Ende 2000 zu erfüllen. Dieses Ziel ist insofern realis- tisch, als die säumigen Stellen heute auf gute Vorlagen zurückgreifen können. Um- fangreiche Datensammlungen oder Datenbearbeitungen sind vor kurzem beispiels- weise in der Militär- oder in der Asyl- und Ausländergesetzgebung geregelt worden (siehe auch S. 12 ff.). Für Datenbearbeitungen mittleren Umfangs haben wir bspw. im Bereich des Zolls, der Luftfahrt, der Energiewirtschaft oder der Mehrwertsteuer Vor- schläge unterbreitet, welche mit Ausnahme des Zolls bereits übernommen wurden. Im Paket «Verfahrenskoordination und -vereinfachung VKB-2» konnten in denjenigen Gesetzen, wo dies nötig war, zugleich auch die Datenschutzbestimmungen eingefügt werden. Es handelt sich dabei um übersichtliche Datenbearbeitungen, welche sich gut für eine gemeinsame Regelung in einer «Sammelbotschaft» eignen. Sehr grosse An- strengungen sind unseres Erachtens für das Personalrecht des Bundes und das (So- zial-) Versicherungsrecht nötig. Aber auch im Bereich des Steuerrechts, des Zoll-, Aussenwirtschafts- und Landwirtschaftsrechts sowie im Tätigkeitsbereich des Eidg. Departements für auswärtige Angelegenheiten ist ein Anpassungsbedarf absehbar. Die Aufzählung ist bei weitem nicht abschliessend. Die Zollverwaltung und das EDA

5. Tätigkeitsbericht 1997/1998 des EDSB 69

haben uns nunmehr interessante Vorentwürfe zur Stellungnahme unterbreitet. Ge- mäss unserem gesetzlichen Auftrag beraten wir die anfragenden Bundesorgane, wel- che sich indessen aktiv an uns wenden müssen.

6.2. Einbezug des EDSB in den Gesetzgebungsprozess

D€Wr…shu…r“ˆ…7ˆqr†tr†r‡“triˆtv†‡qr…@9T7†‚‚uyv€Shu€rqr…˜€‡r…x‚ †ˆy‡h‡v‚hy†hˆpuqr†Hv‡ir…vpu‡†‰r…shu…r†rv“ˆir“vrurarvˆ‡r…†puvrqyvpur6… ‡r‰‚Q…‚iyr€syyr†vqvqvr†r€7r…rvpu“ˆir‚ihpu‡r@‡rqr…qr…@9T7v…q th…vpu‡i“ˆ…vrvr…r…†‡rQuh†rx‚†ˆy‡vr…‡‚qr…†rvr7r€r…xˆtrr…qr v€rv‡r…rWr…shu…rˆ‡r…†puyhtr9vrr…†‡r6…‡v…quvr…xˆ…“huhq‰‚7rv†ƒvr yrhˆ†qr€T‚“vhy‰r…†vpur…ˆt†ˆqqr€Ar…€ryqrir…rvpuir†pu…vrir

Die Bundesämter haben gemäss Verordnung zum Datenschutzgesetz dem Daten- schutzbeauftragten alle Rechtssetzungsentwürfe vorzulegen, welche die Bearbeitung von Personendaten und den Datenschutz betreffen. Bei Revisionen der Verordnungen im Bereiche der Krankenversicherung (KVV und KLV) haben wir festgestellt, dass uns regelmässig zwar die Revisionen der KVV, nicht aber diejenigen der KLV, vorgelegt werden. Der innere Grund dafür lag ursprünglich wohl darin begründet, dass die KLV bloss eine Departementsverordnung ist und dass darin vor allem der Katalog der Pflichtleistungen bezeichnet wird und sie daher datenschutzrechtlich nicht bedeutsam sei. Wir sind nicht darauf eingegangen, weshalb die letztere Überlegung nur teilweise zutreffend ist. Hingegen haben wir betont, dass eine der neueren Revisionen der KLV (Revision vom 3. Juli 1997, AS 1997 S. 2039 f.) durchaus datenschutzrelevant ist. Ei- ne der revidierten Bestimmungen handelt beispielsweise von den Informationen, wel- che Versicherer verlangen können. Die Formulierung ist in bezug auf den Inhalt der Informationen recht offen ausgefallen und es wird auch nicht gesagt, von wem diese Informationen beschafft werden sollen. Beides kann als Folge der Tatsache bezeich- net werden, dass der EDSB im Rahmen der Revision nicht konsultiert wurde. In der Zwischenzeit hat uns das BSV jedoch zugesichert, dass wir zu allen Gesetzgebungs- entwürfen konsultiert werden, welche eine Verbindung zum Datenschutz haben könn- ten. Ganz anders lag der Fall im Rahmen der Vorbereitungsarbeiten für die neue Verord- nung zum Fernmeldegesetz. Dort wurde der EDSB zwar im Rahmen der Ämterkonsul- tation zur Stellungnahme eingeladen. Gewisse datenschutzrechtlich bedeutsame Be- stimmungen sind jedoch erst in der Phase des Mitberichts eingefügt worden, wobei man uns weder informiert noch Gelegenheit zur Stellungnahme geboten hat. Wir ha- ben beim EJPD und beim UVEK interveniert, um die Gründe für diese Unterlassung, die Herkunft der erwähnten Bestimmungen sowie die Motivation für deren Einführung zu erfahren. Das EJPD hat im Namen beider Departemente geantwortet, indem es sich aufs Amtsgeheimnis berief und die Antworten auf unsere Fragen verweigerte. Ferner zog das EJPD den Schluss, dass wir zwar selbstverständlich in der Ämterkon- sultation zu Wort kommen könnten, jedoch nicht im Mitberichtsverfahren, da dieses «Magistratspersonen vorbehalten» sei. In diesem Zusammenhang muss daran erin- nert werden, dass der Datenschutzbeauftragte sich gemäss DSG zu allen Gesetzge- bungsentwürfen zu äussern hat, welche in massgeblicher Weise den Datenschutz berühren. Er äussert seine Meinung im allgemeinen im Rahmen der Ämterkonsultati- on. Wenn aber Änderungen erst später - insbesondere im Mitberichtsverfahren - ein- gefügt werden, dann muss der Datenschutzbeauftragte darüber informiert werden und die Möglichkeit haben, seinen Standpunkt kundzutun. Es ist Aufgabe des zuständigen Departements, diese Stellungnahme einzuholen. Wenn im übrigen in der Ämterkon-

5. Tätigkeitsbericht 1997/1998 des EDSB 70

sultation Divergenzen bleiben, müssen die zuständigen Ämter diese zur Kenntnis ih- res Generalsekretariats bringen, damit letzteres im Mitbericht darauf Bezug nehmen kann. Die Position des Datenschutzbeauftragten muss auf jeden Fall dem Antrag an den Bundesrat beigelegt werden, damit dieser in Kenntnis der gesamten Sachlage entscheiden kann. Im übrigen hat der Bundesrat die Bedeutung dieser Information anerkannt, indem schon 1995 eine Delegation von zwei Bundesräten zusammen mit dem Bundeskanzler und dem Datenschutzbeauftragten sich auf die beschriebene Vorgehensweise geeinigt haben. Das Vorgehen hat auch eine prozessökonomische Begründung, da der Bundesrat auf diese Weise einen besseren Überblick erhält, als wenn er noch einen separaten Bericht des Datenschutzbeauftragten zur Kenntnis nehmen müsste.

Zusammenfassend darf vermutet werden, dass ein Nicht-Einbezug des EDSB zwar in vielen Fällen in Unachtsamkeit, Überlastung, Zeitnot oder Nachlässigkeit, in anderen Fällen aber auch - vorsichtig ausgedrückt - in weniger entschuldbaren Motivationen begründet liegen kann.

& 9h‡rBir…€v‡‡yˆtrv†6ˆ†yhq

7.1. Gleichwertiger Datenschutz und die Bedeutung von vertraglichen Vereinbarun- gen bei Datenübermittlungen ins Ausland

B…ˆq†‡“yvpu†vq5ir…€v‡‡yˆtr‰‚Qr…†‚rqh‡rv†6ˆ†yhqˆ…tr†‡h‡‡r‡r qvrQr…†yvpuxrv‡qr…ir‡…‚ssrrQr…†‚rvpu‡†pur…vrtrqtrsu…qr‡v…q9h† 9h‡r†puˆ‡“tr†r‡“sBu…‡yrqvtyvpurv@yr€r‡hˆsqh†Aruyrtyrvpur…‡vtr…9h‡r †puˆ‡“ir†‡v€€ˆtrrypur†qvrQr…†yvpuxrv‡qr…ir‡…‚ssrrQr…†‚r†pur… vrtrqtrsu…qrxh

Während des letzten Kalenderjahres haben wir mehrere Anfragen zur Problematik von Datenübermittlungen ins Ausland erhalten. Missverstanden wurde vor allem die Relation zwischen der Gleichwertigkeit der Datenschutzbestimmungen im Empfänger- land und dem Erfordernis einer vertraglichen Vereinbarung mit dem Empfänger der Daten. Gemäss Art. 6 DSG darf eine Übermittlung von Personendaten ins Ausland die Persönlichkeit der betroffenen Personen nicht schwerwiegend gefährden. Der Ge- setzgeber hat lediglich ein Beispiel in Art. 6 DSG aufgeführt, nämlich das Fehlen von gleichwertigen Datenschutzbestimmungen im Empfängerland. Es darf jedoch nicht generell angenommen werden, dass die Existenz von gleichwertigen Datenschutzbe- stimmungen im Empfängerland jede Persönlichkeitsverletzung ausschliesst und dass der Übermittler demzufolge nichts zu unternehmen hat, um seiner primären Verant- wortung gegenüber den betroffenen Personen gerecht zu werden. Denn auch wenn gleichwertige Datenschutzbestimmungen im Empfängerland bestehen, kann eine Per- sönlichkeitsverletzung nicht ausgeschlossen werden, insbesondere dann, wenn im Empfängerland die Menschenrechte verletzt werden oder unstabile polit-soziale Ver- hältnisse das Risiko einer Persönlichkeitsverletzung erhöhen. Abgesehen davon, ist es durchaus möglich, dass aufgrund der internen Organisation der Gesellschaft des Empfängers eine datenschutzwidrige Bearbeitung der Daten nicht auszuschliessen ist. Deshalb ist es empfehlenswert, unabhängig davon, ob ein gleichwertiger Daten- schutz gewährt wird, soweit aber Unklarheit über den Persönlichkeitsschutz besteht (wenn beispielsweise der Zweck der Datenbearbeitung unklar oder mehrdeutig ist),

5. Tätigkeitsbericht 1997/1998 des EDSB 71

mit dem Datenempfänger eine Vereinbarung oder einen Vertrag abzuschliessen. Die Persönlichkeit der Betroffenen wird so effektiver geschützt, und der Übermittler wird seiner primären Verantwortung gerecht. Ein solcher Vertrag oder eine solche Vereinbarung kann sich auf die Modellklauseln des Mustervertrags für die Sicherstellung eines gleichwertigen Datenschutzes des Europarats abstützen. Im Vertrag sind jedoch mindestens folgende Elemente festzu- halten:

• Die übermittelten Personendaten dürfen nur zum vereinbarten Zweck verwen- det werden
• Die Gewährung der Rechte der betroffenen Personen, insbesondere des Auskunfts- und Berichtigungsrechts
• Die Verweigerung der Weitergabe der Daten an Dritte
• Die Gewährleistung der Datensicherheit entsprechend der Sensibilität der Da- ten
• Die Statuierung einer Konventionalstrafe oder einer Schadensersatzpflicht für den Fall, dass der Empfänger seinen Verpflichtungen nicht nachkommt.

In diesem Zusammenhang ist auch die Kenntnisnahme oder das Erfordernis der Re- gistrierung einer Übermittlung ins Ausland gemäss Art. 6 Abs. 2 DSG nicht in direkte Verbindung zur vertraglichen Vereinbarung zu bringen. Die Kenntnisnahme der betrof- fenen Personen oder die Registrierung der Datensammlung gemäss Art. 6 Abs. 2 DSG gewähren nicht die Rechtmässigkeit der beabsichtigten Übermittlung ins Aus- land. Der Inhaber der Datensammlung wird demzufolge nicht von seiner Verantwor- tung, für die Einhaltung des Datenschutzes zu sorgen, befreit. Unabhängig davon hat er zu prüfen, ob ein Vertrag für die rechtmässige Bearbeitung der Daten notwendig ist.

' 9h‡r†puˆ‡“ˆq9h‡r†vpur…urv‡

8.1. Die Verwendung von Verschlüsselungsverfahren (Kryptographie)

9vrF…’ƒ‡‚x‚‡…‚‰r…†r

9r…@v†h‡“‰‚x…’ƒ‡‚t…hƒuv†purWr…shu…rvqr…urˆ‡vtrDs‚…€h‡v‚†tr†ryy†puhs‡ ir“rpx‡qvrWr…‡…hˆyvpuxrv‡6ˆ‡ur‡v“v‡‡ˆqD‡rt…v‡‡‰‚ryrx‡…‚v†puBir…€v‡‡ry ‡rIhpu…vpu‡rrssv“vr‡“ˆ†puB‡“rIvpu‡ˆ…qvrBr†pus‡†ry‡uh‡rv7rqB…sv† 9h‡rBir…€v‡‡yˆtr†vpur…hivpxry“ˆxrWvry€ru…uh‡wrqr…€hqh†Srpu‡ †rvr9h‡rˆ…qr‰‚vu€hˆ†truy‡r@€ƒstr…“ˆttyvpu“ˆ€hpurT‚€v‡ xhqr…@v“ryrqh†‰‚€9h‡r†puˆ‡“tr†r‡“tru…‡rSrpu‡hˆsWr…‡…hˆyvpuxrv‡ qˆ…puqr@v†h‡“‰‚x…’ƒ‡‚t…hƒuv†purWr…shu…rhu…ru€r

Mit der Verfügbarkeit und Nutzung moderner Kommunikationstechnologien kann je- dermann abhörsicher kommunizieren. Die Kryptographie bietet in vielen Fällen den effektivsten und kostengünstigsten Weg, die Privatsphäre zu schützen. Deshalb be- trifft die Diskussion über die Kontrolle oder das Verbot der Kryptographie auch das grundlegende Recht auf Schutz der Privatsphäre. Dass nun auch staatlichen Stellen, nicht wie bei der herkömmlichen Kommunikation (Briefe, Telefon), mitlesen oder mit- hören wollen, hat eine weltweite kontrovers geführte Diskussion über die Kryptogra- phie ausgelöst. Aus diesem Grunde sind Bestrebungen im Gange, den Gebrauch der Kryptographie zu reglementieren oder/und den Zugriff von staatlichen Behörden auf die Schlüssel zu ermöglichen (key escrow).

5. Tätigkeitsbericht 1997/1998 des EDSB 72

Eine Reglementierung (z.B. Gebrauch von nur schwacher Verschlüsselung) würde aber den Gebrauch von Kryptographie beeinträchtigen. Denn niemand kann heute völlig daran gehindert werden, Daten zu verschlüsseln. Es ist unwahrscheinlich, Straf- taten, bei denen Verschlüsselung verwendet wurde, durch eine Reglementierung der Verschlüsselung wirksam zu kontrollieren. Hinzu kommt, dass mit steganografischen Methoden ein Informationsaustausch nicht mehr nachweisbar wird. Dabei werden Da- ten in anderen Daten z.B. in Bildern oder Tondateien verborgen. Dadurch kann nicht nachgewiesen werden, dass überhaupt Informationen ausgetauscht werden, ge- schweige denn dass eine (allenfalls ungesetzliche) Verschlüsselungsmethode ver- wendet wurde.

Bei der Zugriffsgewährung auf die Schlüssel (lawful access) können die Behörden den verschlüsselten Text entschlüsseln. Deshalb sehen die Strafverfolgungsbehörden die Schlüsselzugriffssysteme als mögliche Lösung, um verschlüsselte Nachrichten zu be- wältigen. Diese Systeme werfen aber eine Reihe von Schwachstellen auf. Einerseits darf der Gebrauch der Kryptographie zur Sicherstellung des Datenschutzes nicht ein- geschränkt werden, weil diese das wichtigste Mittel für die sichere Übertragung von Personendaten bildet. Andererseits bestehen seitens der Industrie erhebliche Beden- ken, ob überhaupt die Kosten für den Betrieb solcher Systeme im Verhältnis zur Wirk- samkeit überhaupt tragbar sind. Schliesslich bestehen bezüglich der Wirksamkeit der Reglementierung zur Verbrechensbekämpfung erhebliche Zweifel. In der Tat kann nicht verhindert werden, dass Kriminelle leistungsfähige Kryptographieverfahren ver- wenden oder die Schlüsselhinterlegung umgehen. Somit würde die Reglementierung des Einsatzes der Kryptographie oder die Schlüsselhinterlegung in erster Linie dieje- nige treffen, welche die erlaubte Schlüssellänge gebrauchen oder ordnungsgemäss ihre Schlüssel hinterlegen. Kriminelle Profis hingegen (man kann davon ausgehen, dass die an der organisierten Kriminalität beteiligten Personen über eine durchschnitt- liche Intelligenz verfügen), die eigentlich mit der Reglementierung avisiert sind, wer- den andere Verschlüsselungstechniken verwenden, die vom Staat nicht kontrolliert werden können. Wir sind der Auffassung, dass die Reglementierung von kryptographischen Verfahren für die Erreichung des angestrebten Zwecks nicht geeignet ist. Der damit verbundene Eingriff in die Persönlichkeitsrechte ist unverhältnismässig. Wir sprechen uns gegen eine Reglementierung oder Beschränkung der Kryptographie aus, weil diese für die Bekämpfung der organisierten Kriminalität ungeeignet ist und den notwendigen Schutz von personenbezogener Daten sowie Berufs- und Geschäftsgeheimnissen unnötig gefährdet.

9vrTpuy+††rytrr…vr…ˆtˆqTvpur…urv‡irvqr…‰r…†puy+††ry‡rF‚€€ˆvxh‡v‚

Risiken für eine sichere verschlüsselte Kommunikation kommen nicht nur von den erwähnten Regulierungsversuchen (siehe dazu Kryptokontroverse). Auch die konkrete Konzeption der Schlüsselerzeugungs- und -verteilverfahren muss so gestaltet sein, dass private Schlüssel nicht in unbefugte Hände gelangen können. Denn die Sicher- heit eines Kryptosystems kann immer nur so hoch sein, wie die Geheimhaltung der (privaten) Schlüssel.

Leider existieren auf asymmetrische Algorithmen basierende Kommunikationssysteme (z.B. Mail-Systeme), die lediglich eine zentrale Schlüsselgenerierung vorsehen. Das heisst: Das notwendige Schlüsselpaar (öffentlicher und zugehöriger privater Schlüs-

5. Tätigkeitsbericht 1997/1998 des EDSB 73

sel) wird an einer zentralen Stelle erzeugt anstatt vom Benutzer selbst. Der private Schlüssel muss jedoch vollständig unter der Kontrolle des Benutzers sein, sonst kann er nie sicher sein, ob ein Dritter im Besitz seines privaten Schlüssels ist, der so seine Nachrichten lesen und auch solche in seinem Namen versenden kann. Dies kann bei einer zentralen Generierung nicht garantiert werden. Daher ist bei der Konzeption bzw. Beschaffung von Kommunikationssystemen darauf zu achten, dass die Schlüs- selgenerierung durch den Benutzer selbst nicht von vornherein ausgeschlossen wird. Unter Umständen kann es erforderlich sein, dass eine Firma oder Verwaltungsstelle die privaten Schlüssel ihrer Mitarbeiter hinterlegt und zwar bei einer Stelle ihres Ver- trauens, um im Notfall auf geschäftliche Dokumente zugreifen zu können. Für rein persönliche Kommunikation tut der Benutzer in seinem eigenen Interesse gut daran, nicht nur sein Schlüsselpaar selber zu erzeugen, sondern auch die Hinterlegung von Kopien seines «private keys» zu vermeiden.

8.2. Das Bearbeitungsreglement des Systems PISEDI

Tvqtrv††r7rqvtˆtrirvqr…Br†‡hy‡ˆt‰‚hˆ‡‚€h‡v†vr…‡rDs‚…€h‡v‚††’†‡r €rvqr…7ˆqr†‰r…hy‡ˆtr…sByy‡†‚v†‡tr€††qr…rpu‡yvpurW‚…thirrv7r h…irv‡ˆt†…rtyr€r‡“ˆr…†‡ryyr7r†‡ru‡rv†‚ypur†Srtyr€r‡vpu‡‰‚…qr…Dir ‡…vrihu€rqr†T’†‡r€††‚‰r…†‡††‡qvr†trtrtry‡rqrSrpu‡†‰‚…†pu…vs‡r

Gemäss Art. 21 VDSG ist u. a. bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen ein Bearbeitungsreglement zu erstellen. Das Generalsekretariat des Eidg. Departement des Innern (EDI) stellte an der Infor- matik-Konferenz des Bundes (IKB) im Dezember 1996 das Personalin- formationssystem des EDI (PISEDI) als mögliche Übergangslösung für das in der Bundesverwaltung gestoppte Projekt bzw. System BV-PLUS vor. Das Generalsekreta- riat des EDI hielt dabei fest, dass der Eidg. Datenschutzbeauftragte vom Projekt Kenntnis habe und das System PISEDI als datenschutzkonform betrachtet werden könne. Die darauffolgende Durchsicht des PISEDI-Dossiers beim Eidg. Datenschutz- beauftragten (EDSB) zeigte auf, dass diverse offene Fragen zum Datenschutz bis zum damaligen Zeitpunkt nicht beantwortet wurden. Im Januar 1997 führte das Generalsekretariat (GS) des EDI eine Demonstration des PISEDI, namentlich für Vertreter von Personalabteilungen und Informatiker in der Bundesverwaltung, durch. Bei dieser Vorführung wurde erklärt, dass das System den Datenschutzanforderungen genüge. Aufgrund der geschilderten Umstände sah sich der EDSB veranlasst, das GS EDI sowie auch diejenigen Departemente, die Interesse am System PISEDI bekundeten, über den ungenügend ausgewiesenen Datenschutz zu informieren In unserem Schreiben vom 19. März 1997 wurde insbesondere fest- gehalten, dass das System den Anforderungen des Datenschutzes nicht genüge und vor einem allfälligen Entscheid für den Einsatz des Systems PISEDI in den jeweiligen Organisationseinheiten mit dem EDSB Kontakt aufgenommen werden soll. Im weite- ren wurde darauf hingewiesen, dass vor und nicht nach der Inbetriebnahme eines Personalinformationssystems ein Bearbeitungsreglement zu erstellen sei. Da PISEDI u. a. im GS EDI bereits in Betrieb war und kein Bearbeitungsreglement vorhanden war, haben wir das GS EDI in einer Empfehlung gemäss Art. 27 des Bundesgesetzes über den Datenschutz aufgefordert, innerhalb einer gewissen Frist ein Bearbeitungs- reglement für das Personalinformationssystem PISEDI zu erstellen. Die Empfehlung wurde vom GS EDI akzeptiert und hatte primär einmal zur Folge, dass der Departementsinformatiker nicht auch noch die Funktion des Datenschutzbe-

5. Tätigkeitsbericht 1997/1998 des EDSB 74

raters wahrnehmen muss, sondern dass diese Aufgaben nun durch eine andere Or- ganisationseinheit im EDI erbracht werden. Dies ist zu begrüssen, weil die Funktionen Departementsinformatiker und Datenschutzberater nicht in Personalunion wahrge- nommen werden können. Interessenkonflikte zwischen der Leitung Informatik und dem Datenschutz sind offensichtlich, weil u. a. der Datenschutzberater dafür sorgen muss, dass die gesetzlichen Rahmenbedingungen bei der EDV-Systemgestaltung in angemessener Weise berücksichtigt werden.

8.3. Anforderungen an ein Bearbeitungsreglement

9vrW‚…thirsB…qvr@…†‡ryyˆtrvr†7rh…irv‡ˆt†…rtyr€r‡r††vq†’†‡r€†ƒr“vsv†pu ˆqxrqr†uhyivpu‡Mx‚puiˆpuh…‡vtNsr†‡truhy‡rr…qr9r…Br†r‡“trir…uh‡ sr†‡truhy‡rh†rv7rh…irv‡ˆt†…rtyr€r‡irvuhy‡r†‚yy0ir“Btyvpuqr…9h…†‡ry yˆt†s‚…€uy‡r…hˆ†irt…rvsyvpurB…Bqrˆ…sr†‡qh††qvr6thir‰r…†‡qyvpu hy†‚‡…h†ƒh…r‡ˆqhpu‰‚yy“vruih…†rv€B††r

In Art. 21 der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) wie auch im Leitfaden zu den technischen und organisatorischen Massnahmen sind die Vorga- ben für die Erstellung eines Bearbeitungsreglements umschrieben. Ein Bearbeitungs- reglement soll folgendes beinhalten: Grundsätzlich wird im Bearbeitungsreglement festgehalten, dass das verantwortliche Organ die vom datenbearbeitenden System betroffenen organisatorischen Bereiche dokumentiert (Aufbau- und Ablauforganisation). Weiter sind vor allem die Datenbe- arbeitungs- und Kontrollverfahren zu dokumentieren. Der Gesetzgeber unterscheidet hier grundsätzlich zwei Arten von Verfahren bzw. Abläufen. Einerseits verlangt er die Dokumentation der Abläufe bzw. Prozesse bei der Datenbearbeitung bzw. der Aufga- benerfüllung, andererseits aber auch die Aufführung der Kontrollprozesse bzw. - abläufe. Die Aufgabenerfüllungsprozesse sollten grundsätzlich vor der EDV- Systemgestaltung dokumentiert sein. Diesbezüglich bestehen aber in der Bundesver- waltung einige Lücken. Aus der Sicht des Datenschutzes sollten auch die Kontrollpro- zesse dokumentiert werden. Die Datenbearbeitungsverfahren bzw. -abläufe sind zu dokumentieren. Der Ausdruck Bearbeitung ist im Datenschutzgesetz definiert als jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaf- fen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernich- ten von Daten. Dieser Begriff ist umfassend, er beginnt bei der Erhebung der Daten und endet erst bei deren Vernichtung. Alle Abläufe innerhalb dieser «Grenzen» sind zu dokumentieren. Je sensitiver die Datenbearbeitung, um so detaillierter sind die Prozesse festzuhalten. Im weiteren sind im Bearbeitungsreglement auch die Abläufe zur Ausübung des Auskunftsrechts aufzuführen. Die Abläufe für die Berichtigung (Vermerk) und Sperrung sind aus dem Auskunftsrecht abgeleitet. Eine Vernichtung der Daten kann ebenfalls aufgrund des Auskunftsrechts notwendig sein. Infolgedes- sen ist auch dieser Prozess aufzuführen. Die folgenden Punkte können unter dem Begriff Datensicherheit aufgeführt werden:

• die Kontrollverfahren und insbesondere die technischen und organisatorischen Massnahmen nach Art. 20 VDSG
• die Beschreibung der Datenfelder und die Organisationseinheiten die darauf Zugriff haben
• Art und Umfang des Zugriffs der Benutzer der Datensammlung
• die Konfiguration der Informatikmittel

5. Tätigkeitsbericht 1997/1998 des EDSB 75

Als Grundlage für die Umsetzung der technischen und organisatorischen Datensi- cherheitsmassnahmen in der Bundesverwaltung verweisen wir auf das Handbuch Nr. 1 zur Weisung Informatiksicherheit Nr. S02 der Sektion Sicherheit des Bundesamtes für Informatik. Dieses Handbuch beinhaltet u. a. einen Massnahmenkatalog für die Umsetzung von Datensicherheitsmassnahmen.

• Weiter ist aus der Sicht des Datenschutzes wichtig feststellen zu können, wo- her die Daten stammen und zu welchem Zweck diese bearbeitet werden.
• Zusätzlich sind im Reglement auch die verantwortlichen Organisationseinheiten für den Datenschutz und die Datensicherheit aufzuführen.
• Planungs- als auch Realisierungsunterlagen eines EDV-Systems sind in der Bundesverwaltung nach HERMES (Führung und Abwicklung von Informatikpro- jekten) zu erstellen.
• Die Dokumentation des Betriebs wird im Betriebshandbuch festgehalten.
• Die Anmeldungen der Datensammlungen, welche von den jeweiligen Organisa- tionseinheiten betrieben werden, sind ebenfalls im Bearbeitungsreglement auf- zuführen. Das Bearbeitungsreglement soll nun aber nicht alle Unterlagen, die z. B. aufgrund von HERMES zu erstellen sind, beinhalten, sondern nur Kernaussagen aus der Sicht des Datenschutzes und der Datensicherheit, die sich aufgrund der bereits erstellten Unter- lagen ergeben haben. Zusätzlich ist ein Verweis auf die bereits erarbeiteten Unterla- gen aufzuführen. Reine Datenschutz- und -sicherheitsanforderungen, die nirgends dokumentiert sind, sind vollständig im Bearbeitungsreglement aufzuführen. Die erste Version des Bearbeitungsreglements ist verfügbar, nachdem die Planungs- phasen des Projektes durchlaufen sind. Es wird in der Folge aktualisiert und den zu- ständigen Kontrollorganen in einer verständlichen Form zur Verfügung gestellt.

8.4. Protokollierung von Datenbearbeitungen

Hv‡qr…Q…‚‡‚x‚yyvr…ˆtxr€tyvpurˆr…yhˆi‡r9h‡rirh…irv‡ˆtrv†ir†‚qr …r9h‡rBir…€v‡‡yˆtrhpu‡…tyvpusr†‡tr†‡ryy‡ˆqxBs‡vtˆ‡r…iˆqrr…qr

Oft ist es nicht möglich, mit technischen und organisatorischen Massnahmen bereits präventiv jeglichen unerlaubten Datenbearbeitungen vorzubeugen. Denn ein Informa- tiksystem kann nie im voraus exakt so konfiguriert werden, dass es nur genau diejeni- gen Operationen zulässt, die der Aufgabe eines Mitarbeiters entsprechen, d.h. eine zweckfremde Bearbeitung verhindert wird. Für diese Fälle bietet sich die Protokollierung der entsprechenden Datenbearbeitung an. Darunter wird das Aufzeichnen von Bearbeitungsvorgängen verstanden. Bei der Protokollierung ist das Verhältnismässigkeitsprinzip zu beachten: es sind lediglich diejenigen Bearbeitungsvorgänge aufzuzeichnen, die eine wirksame Kontrolle erwarten lassen. Je nach konkretem Umfeld und Sensibilität ist eine bescheidene stichprobenweise Protokollierung bis zu einer vollständigen Aufzeichnung aller Aktivi- täten durchzuführen. Dazwischen gibt es alle Abstufungen. Denkbar ist auch, dass die Bearbeitungen nur festgehalten werden, falls sie aufgrund einer (automatisierten) Plausibilitätsanalyse als heikel erscheinen. Eine Protokollierung allzuvieler Vorgänge führt zur Generierung riesiger Datenmengen, die kaum auswertbar sind. Dies würde zudem die Gefahr einer Verhaltenskontrolle der Mitarbeiter in sich bergen, was wie- derum im Widerspruch zum Datenschutz stünde. Bei der automatisierten Bearbeitung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen ist jedoch insbesondere dann zu protokollieren, falls nicht

5. Tätigkeitsbericht 1997/1998 des EDSB 76

auf eine andere Weise nachträglich festgestellt werden kann, ob die Daten zweckkon- form bearbeitet wurden. Wesentlich ist, dass die Protokolle revisionsgerecht angelegt werden, d.h. nicht manipulierbar sind. Ansonsten macht der Aufwand kaum Sinn. Bei- spielsweise können sogenannte WORM-Platten verwendet werden, aber auch Aus- drucke auf Papier, die sicher aufbewahrt werden, sind denkbar. Die Protokolle sind sicher zu verwahren und dürfen nur denjenigen Personen zugänglich sein, denen die Überwachung der Datenschutzvorschriften obliegt. Eine Verwendung, die über den vorgesehenen Zweck hinausgeht, ist nicht zulässig. Diejenigen Personen, die mit den Informationssystemen arbeiten, müssen wissen, welche Bearbeitungen in welchem Ausmass protokolliert werden. Wenn bekannt ist, dass sensible Datenbearbeitungen nachträglich festgestellt werden können, sinkt das Risiko von unerlaubten Vorgängen. In diesem Sinne beugt die Protokollierung bereits durch ihre Existenz einer unrecht- mässigen Bearbeitung von Personendaten vor. Zusammenfassend kann gesagt werden: Die Frage, ob protokolliert werden muss, ist aufgrund einer Risikobeurteilung konkreter Datenbearbeitungen zu entscheiden. Aus- schlaggebend ist dabei, dass heikle Daten bzw. Datenbearbeitungen nicht mit präven- tiven Massnahmen geschützt werden können. In welchem Detailierungsgrad zu proto- kollieren ist, ergibt sich ebenfalls aufgrund der aktuellen Datenbearbeitungssituation.

8.5. Outsourcing von EDV Dienstleistungen in der Bundesverwaltung

7rv€Pˆ‡†‚ˆ…pr‰‚@9W9vr†‡yrv†‡ˆtrh9…v‡‡rv†‡qr…9h‡r†puˆ‡“triBu…rq “ˆir…Bpx†vpu‡vtr7rv€7rh…irv‡r‰‚†r†v‡v‰rQr…†‚rqh‡r†vqqvr“ˆ‡…rssr qr9h‡r†vpur…urv‡†€h††hu€rqr€T‡hqqr…Urpuvxr‡†ƒ…rpurqˆ€“ˆ†r‡“r 7rvqr…@‰hyˆh‡v‚v†‡r††ryi†‡‰r…†‡qyvpuqh††v€†r†v‡v‰rV€sryqqvr9h‡r†v pur…urv‡†€h††hu€rr‡†ƒ…rpurq“ˆtrvpu‡r†vq

Aufgrund einer Erhebung des Rechenzentrums des Bundesamtes für Informatik hat sich ergeben, dass die maximale Ausfalldauer bei einigen Anwendungen max. 3 Tage betragen darf. Die heutige Systemkonfiguration kann bei einem gravierenden Störfall diese max. Ausfalldauer nicht garantieren. Man hat deshalb ein Projekt ins Leben ge- rufen, um abzuklären, wie diese Vorgaben zu erfüllen sind. Leider hat man den Pro- jektantrag nicht - wie dies in der Bundesverwaltung Vorschrift ist - dem Eidg. Daten- schutzbeauftragten zugestellt, so dass wir nicht von Anfang an in die Projektpla- nungsphasen involviert waren. Wir haben dennoch vom Projekt Kenntnis erhalten und von den zuständigen Stellen die notwendigen Unterlagen angefordert. Aufgrund der Dokumentation konnten wir feststellen, dass insb. dem Aspekt der Vertraulichkeit der Informationen bei der Evaluation des Ausweichrechenzentrums zuwenig Aufmerk- samkeit geschenkt wurde. Gemäss den rechtlichen Vorgaben sind solche Systeme, weil sie u. a. sensitive Daten bearbeiten, dem Stand der Technik entsprechend zu schützen. Aufgrund der Evaluation muss schliesslich zwischen einem externen und einem bundesinternen Anbieter eine Lösung gefunden werden. Grundsätzlich ist einer Auslagerung der Datenbearbeitung bei sensitiven Systemen (Bearbeitung von beson- ders schützenswerten Personendaten oder Persönlichkeitsprofilen) nichts entge- genzusetzen, wenn u. a. das System so betrieben werden kann, dass die Personen- daten vom RZ-Betreiber nicht eingesehen werden können. Im vorliegenden System- Umfeld ist dies aber heute aufgrund unserer Kenntnisse nicht der Fall. Eine vollstän- dige Personendatenabschottung ist heute, mit der geforderten Qualität, nur mit dem Einsatz von Chiffrierverfahren umzusetzen. Solche Produkte bzw. Verfahren sind uns aber vorliegend nicht bekannt. Die Verantwortlichkeit für den Datenschutz und damit auch für die Datensicherheit liegt beim Outsourcing beim Auftraggeber. Dieser hat

5. Tätigkeitsbericht 1997/1998 des EDSB 77

dafür zu sorgen, dass er auch dann noch die Kontrolle über die Datenbearbeitung be- hält, wenn Teile dieser an Dritte ausgelagert werden. Dies gilt um so mehr, wenn sen- sitive Personendaten extern bearbeitet werden. Schriftliche Verpflichtungen zur Ein- haltung der Datenschutz- oder Sicherheitsvorschriften, wie man sie vielerorts immer wieder antrifft, sind Möglichkeiten, um auf die Sensitivität der Datenbearbeitung hin- zuweisen. Aus heutiger Sicht genügen aber solche Massnahmen nicht mehr. Die Ein- haltung der Datenschutz- und Sicherheitsmassnahmen sind messbar zu gestalten, damit diese kontrollierbar sind. Um die Sicherheitsmassnahmen im Rechenzentrums des externen Anbieters als auch die im Rechenzentrum der Bundesverwaltung vergleichen zu können, haben wir das Bundesamt für Informatik gebeten, uns eine vollständige Sicherheits- bzw. Risikoana- lyse der beiden möglichen Ausweichrechenzentren zukommen zu lassen. Bis zum Eintreffen der vollständigen Analyse müssen wir aufgrund eines ersten Überblicks da- von ausgehen, dass das Bundesrechenzentrum einen besseren Datensicherheits- standard aufweist als das externe Rechenzentrum. Der sichereren Lösung ist bei der Evaluation den Vorzug zu geben. Das zukünftige Bundesausweichrechenzentrum soll in einem Bunker eingerichtet werden. Dies ist eine weitere Rahmenbedingung, die es zu berücksichtigen gilt. Hingegen macht es u. E. wenig Sinn, für eine verhältnismässig kurze Zeit Rechnerleistung bei einer externen Firma zu mieten, weil die Mietpreise nicht unerheblich sind und die Investitionen auch sofort vollständig abgeschrieben werden müssen. Aufgrund unserer heutigen Kenntnisse ist ein Aufbau eines Aus- weichrechenzentrums in einem bereits bestehenden sicheren Rechenzentrum der Bundesverwaltung vorzuziehen, weil man in Hard- und Software investieren kann und diese Anlage zu einem späteren Zeitpunkt in einen Bunker transferieren kann. Eine solche Lösung wäre aufgrund unserer Kenntnisse auch kostengünstiger. Aus grundsätzlichen Überlegungen muss vermieden werden, dass sensitive Daten auf unterschiedlichen Systemen vorübergehend betrieben werden, wenn u. a. die Ab- schottung der Personendaten nicht vollständig gewährleistet werden kann. Bürger ha- ben aufgrund von rechtlichen Vorgaben der Verwaltung u. a. auch sensitive Perso- nendaten zur Verfügung zu stellen. Infolgedessen müssen die Bundesorgane auch dafür sorgen, dass diese sensitiven Daten entsprechend der geforderten Qualität be- arbeitet werden.

8.6. Verfahren zur Anonymisierung im Rahmen der medizinischen Statistik der Krankenhäuser

D€yr‡“‡wu…vtrU‡vtxrv‡†ir…vpu‡T"(ˆ…qrqvrA‚…‡†pu…v‡‡rr…u‡rypurhˆ† qr…Tvpu‡qr†9h‡r†puˆ‡“r†v€Shu€rqr…€rqv“vv†purT‡h‡v†‡vxqr…F…hxruˆ †r…“v†pur6ƒ…vy ((%ˆq6ƒ…vy ((&“ˆ‰r…“rvpurh…r9vrqh…vtrˆ††r…‡r V†vpur…urv‡rir“Btyvpuqr†Wr…shu…r†“ˆ…6‚’€v†vr…ˆt†vqurˆ‡r“ˆrvr€ t…‚††rUrvyhˆ†tr…ˆ€‡D€s‚ytrqrv…qqh†‰r…hyytr€rvr…ˆt†suvtrWr…shu …rir†pu…vrirrypur†r…yhˆir†‚yyHru…shpuu‚†ƒv‡hyv†h‡v‚rhy††‚ypur“ˆr… xrrQh‡vr‡rvqr‡vsvxh‡v‚rwrq‚pu“ˆ‰r…uvqr…

Im Rahmen der medizinischen Statistik der Krankenhäuser gilt es, einen Widerspruch auszugleichen, welcher zwischen den Anforderungen der Statistik und denjenigen des Datenschutzes besteht. Zur Illustration dieses auf den ersten Blick unlösbaren Prob- lems seien die beiden Anforderungen kurz an einem Beispiel illustriert: Wenn Herr X im August 1998 im Bezirksspital A und im November 1998 im Universitätsspital B hospitalisiert wird, so muss für die Statistik erkennbar sein, dass es sich zweimal um dieselbe Person handelt. Nicht von Interesse ist für die Statistik hingegen, welche

5. Tätigkeitsbericht 1997/1998 des EDSB 78

Person hospitalisiert wurde, mit anderen Worten die Identität von Herrn X. In der Ter- minologie der Statistiker kann die Anforderung beschrieben so werden, dass Individu- alisierbarkeit notwendig, Identifikation dagegen weder nützlich noch erwünscht ist. Eine Durchführung der erwähnten Statistik gemäss dem provisorischen Detailkonzept vom Frühjahr 1996 hätte datenschutzrechtlich zwei schwerwiegende Schwachstellen aufgewiesen, weil die Individualisierung (Verfolgen von Mehrfachhospitalisationen) unter direktem Rückgriff auf sogenannte soziodemographische Variablen wie Vorna- me, Geburtsdatum, Geschlecht und Postleitzahl hätte erfolgen sollen. Dieses Verfah- ren erwies sich jedoch als nicht sehr präzise und damit zur Individualisierung wenig geeignet. Darüberhinaus hätten dadurch die genannten Merkmale in sehr feiner Gra- nularität erhoben werden müssen, womit aus den Angaben in zentralen Datenbestän- den Rückschlüsse auf betroffene Personen ermöglicht worden wären. Mit der Umset- zung der seit Frühjahr 1997 vorliegenden Konzepte (definitives Detailkonzept und Da- tenschutzkonzept) sollten beide Probleme gelöst werden. Kernstück der Änderungen ist ein auf kryptographischen Methoden basierendes Verfahren zur Erzeugung eines sogenannten anonymen Verbindungscodes Zwei Hauptpunkte dieses Verfahrens werden im folgenden dargestellt. Es handelt sich dabei um die Auswahl der identifizie- renden Variablen D9, und um die Anwendung einer Funktion u, welche aus D9einen Hash-Code C produziert, von dem aus es rechnerisch nicht mehr möglich ist, auf D9 zu schliessen. Für die Effektivität dieses Schrittes ist wesentlich, dass er auf der Stufe des Spitals vollzogen wird und dass - natürlich - D9 sofort nach Anwendung von u ge- löscht wird.

6ˆ†huyqr…vqr‡vsv“vr…rqrDs‚…€h‡v‚rD9 Ausgangspunkt ist die Auswahl‰‚ bestimmten, eine hospitalisierte Person identifizie- renden Informationen D9, welche mehrere Anforderungen erfüllen müssen. Sie dür- fen nur von der betreffenden Person abhängen. Sie müssen für dieselbe Person im Laufe der Zeit möglichst wenigen Veränderungen unterliegen und sie dürfen nicht an- fällig sein auf Schreibfehler. Mit anderen Worten muss die Wahrscheinlichkeit mini- miert werden, dass einer Person zwei verschiedene D9zugeordnet werden. Auf der anderen Seite muss auch die Wahrscheinlichkeit möglichst tief gehalten werden, dass zwei verschiedenen Personen dieselben D9entsprechen. Die Wahl der für D9gewähl- ten Angaben fiel nach Tests auf eine 17-stellige alphanumerische Zeichenkette, wel- che sich aus folgenden Datenfeldern zusammensetzt:

• genaues Geburtsdatum achtstellig und von der Form TTMMJJJJ (ergibt ca. 365

• 120 = 43’800 Möglichkeiten für lebende Personen, wenn man von der An- nahme ausgeht, dass 120 Jahre ein Maximalalter sind),

• Geschlecht einstellig (2 Möglichkeiten),
• Soundex-Code des Vornamens (1 Buchstabe und drei Ziffern, maximal 25’974 Möglichkeiten) sowie
• Soundex-Code des Namens (1 Buchstabe und drei Ziffern, maximal 25’974 Möglichkeiten). Daraus ergibt sich eine ungefähre Gesamtzahl möglicher Kombinationen von 5.9 * 10 13 . Die Anwendung des sogenannten Soundex-Algorithmus auf die alphabetischen Zeichenketten dienen der Vereinheitlichung von Schreibweisen, was dem Hauptziel dieses Algorithmus entspricht. Dabei werden, vereinfacht gesagt, Zeichen mit ähnli- chem «Sound» in identische Code umgewandelt und die sogenannten «Nicht- Zeichen» wie Apostrophe, Gedankenstriche oder Zwischenräume eliminiert.

5. Tätigkeitsbericht 1997/1998 des EDSB 79

6ˆ†huyˆq6rqˆtrvr…Aˆx‡v‚C Die Funktion muss für alle Spitäler dieselbe sein, da ja für einen bestimmten Patienten überall und zu jeder Zeit derselbe Verbindungscode generiert werden muss. Es dräng- te sich die Verwendung einer sogenannten Hashing-Funktion auf. Diese weisen näm- lich die für den vorliegenden Zusammenhang äusserst wertvolle «Einweg- Eigenschaft» auf. D.h. aus IDkann der entsprechende Hashcode zwar relativ effizient berechnet werden, das Umgekehrte jedoch funktioniert nicht. Es ist genauer gesagt rechnerisch nicht möglich, ausgehend von einem bestimmten Code p die entspre- chenden Eingangsvariablen zu berechnen. Diese Anforderungen können anerkann- termassen sowohl durch Hashing-Funktionen mit (geheimem) Schlüssel als auch durch solche ohne Schlüssel erfüllt werden. Eine Funktion mit Schlüssel kam nicht in Frage, da an diesem Schlüssel das ganze Verfahren mit grosser Wahrscheinlichkeit gescheitert wäre. Der Schlüssel hätte nämlich für hunderte von Spitälern derselbe sein müssen, da sonst für dieselbe Person in verschiedenen Spitälern unterschiedli- che Codes entstünden. Dennoch hätte der Schlüssel geheim bleiben müssen, was bei der Vielzahl der Benutzer von allem Anfang an schon eine Illusion gewesen wäre. Gewählt wurde mit dem Secure Hash Algorithm (SHA) eine amerikanische Entwick- lung, welche schon seit mehreren Jahren im Bereich der Meldungs-Authentifizierung erfolgreich eingesetzt wird und die Einweg-Anforderung anerkanntermassen erfüllt. Schliesslich war noch die für die Statistik wesentliche Frage offen, wie gross die Wahrscheinlichkeit sei, dass ausgehend von verschiedenen Eingangsvariablen D9 durch Anwendung von C derselbe Code entsteht. Diese Wahrscheinlichkeit musste deshalb genau untersucht werden, weil eine solche künstliche Produktion von Mehr- fachhospitalisationen die Aussagekraft der Statistik sehr negativ beeinflussen würde. Aufgrund von Tests auf einer Datenbasis von ca. 222’000 Patientenidentifikationen wurde eine Wahrscheinlichkeit von 0.003 (oder 0.3%) gefunden, was von den Statisti- kern gemessen an den Zielen der Statistik als akzeptabel bezeichnet wurde.

8.7. Erlaubte und unerlaubte Verwendung von ICD-10 Codes

@†yvrt‡vpu‡vqr…aˆ†‡qvtxrv‡qr†@9T7†vpuqv…rx‡“ˆ…B…r“rr…yhˆi‡r…Wr…r qˆtqr…D‡r…h‡v‚hyr†‡h‡v†‡v†purFyh††vsvxh‡v‚qr…F…hxurv‡rˆq‰r…hq‡r… Br†ˆqurv‡†ƒ…‚iyr€rD89“ˆˆ††r…9r…h…‡vtrA…htrtru…rvqrF‚€ƒr‡r“ ir…rvpuqr…T‡ryyrrypur‰r…h‡‚…‡yvpusB…qvrQsyrtrˆqir‡rvyvt‡hqrSr‰v†v‚ rqr…Fyh††vsvxh‡v‚†vq9vrWr…rqˆt‰‚D89 8‚qr†xhwrq‚purvrWr… yr‡“ˆtqr†Wr…uy‡v†€††vtxrv‡†ƒ…v“vƒ†irqrˆ‡rT‚sr…qvr†v€Shu€r‰‚9h ‡rirh…irv‡ˆtrqˆ…pu7ˆqr†‚…thr‚qr…qˆ…puQ…v‰h‡rtr†puvru‡v†‡qvraˆ†‡ qvtxrv‡qr†@9T7trtrir‚qˆ…puqvrir‡…rssrqrT‡ryyrqh“ˆhˆstrs‚…qr…‡r…qr xrvu…r7rh…irv‡ˆtr“ˆqr…

Um geeignete und ungeeignete Verwendungszwecke der internationalen statistischen Klassifikation der Krankheiten und verwandter Gesundheitsprobleme voneinander ab- zugrenzen, ist es sinnvoll, einen Blick auf die im Rahmen der Entwicklung und Über- arbeitung der Klassifikation vorgesehenen Verwendungen zu werfen. Am Ursprung steht eine Klassifikation von 1863, welche zwecks Todesursachenstatistik entwickelt wurde. Mit deren sechster Revision hat die WHO 1948 auch Krankheiten und Verlet- zungen integriert, und auf den 1. Januar 1993 wurde die zehnte Revision von der Vollversammlung der WHO in Kraft gesetzt. Sämtliche Überarbeitungen erfolgten im Hinblick auf einen statistisch-epidemiologischen Verwendungszweck der zu erfassen- den Daten. Dies geht im übrigen auch aus dem Namen der Klassifikation hervor.

5. Tätigkeitsbericht 1997/1998 des EDSB 80

Gesamtschweizerische Bedeutung hat die ca. 13’000 Positionen umfassende Klassifi- kation mit der Einführung der medizinischen Statistik der Krankenhäusererlangt, wel- che seit 1. Januar 1998 für alle Spitäler obligatorisch ist. Seit dem Frühjahr 1997 liegt nun für diese Statistik ein Anonymisierungskonzept vor, mit dessen tatsächlicher Um- setzung datenschutzrechtliche Bedenken zerstreut werden können. Damit kann die Verwendung der ICD-10 Codes aus datenschutzrechtlicher Sicht akzeptiert werden, weil einerseits ihre Eignung für statistische Verwendungszwecke nicht zu bezweifeln ist und andererseits die Anonymisierung der Daten schon auf Stufe des Spitals ge- schieht. Gleichzeitig mit der Einführung der obenerwähnten Statistik ist auf den 1. Januar 1998 eine grosse Zahl von neuen Verträgen zwischen Krankenversicherern und Spitälern in Kraft getreten. Problematisch an diesen Verträgen ist aus Sicht des Datenschutzes, dass sich darin Versicherer von Spitälern die systematische Bekanntgabe der ICD-10 Codes versprechen lassen. Trotz der eminenten datenschutzrechtlichen Bedeutung der dadurch vorgesehenen Datenflüsse wurde der EDSB im Rahmen der Vorberei- tungen der Verträge nicht konsultiert. Derartige systematische Bekanntgaben genau- ester Diagnosen geht jedoch über die vom KVG gedeckten Informationsflüsse weit hinaus. Darüberhinaus ist die Klassifikation für die nicht-statistischen Zielsetzungen der Krankenversicherer gar nicht geeignet. Die bisherigen Abklärungen bestärken fol- gende Vermutungen: Zunächst schien aus Optik der Versicherer die Gelegenheit ver- lockend, dass aufgrund des zufälligen zeitlichen Zusammentreffens mit der Einfüh- rung der medizinischen Statistik der Krankenhäuser eine riesige Menge von Daten bei den Spitälern «sowieso schon erhoben» werden. Sodann war man sich wohl bewusst, dass der EDSB eine derart neue Grössenordnungen anstrebende Änderung mit kriti- schen Augen würdigen würde. Entsprechend hat die nationale Konferenz der Daten- schutzbeauftragten denn auch am 4. November 1997 eine Resolution (siehe Anhang S. 102) gegen die geplanten Datenflüsse verabschiedet. Diese verletzen wie gesagt nicht bloss das KVG, sondern auch den Grundsatz der Verhältnismässigkeit, weil die ICD-10 Klassifikation für die personenbezogenen Datenbearbeitungszwecke der Ver- sicherer weder notwendig noch geeignet sind. Das Hauptproblem liegt in einer Vermi- schung von Datenbearbeitungen zu verschiedenen Zwecken. Auf der einen Seite müssen Versicherer die Rechnungen prüfen und dazu versicherten- bzw. patienten- bezogene Daten bearbeiten. Dazu dürfen sie im Einzelfallzwar genaue Diagnosen einfordern, nicht jedoch in systematischer Weise beziehen. Für diese Prüfungen je- doch ist die Klassifikation gar nicht geeignet. Auf der anderen Seite wollen und sollen Versicherer gemäss der Konzeption des KVG neue «Produkte» gestalten, indem sie beispielsweise die günstigen unter den qualitativ guten Leistungserbringern ermitteln und mit diesen über Fallkostenpauschalen abrechnen. Es liegt auf der Hand, dass zur Gestaltung solcher Verträge eine gewisse Zahlenbasis analysiert werden muss. Es scheint jedoch ebenso klar - und dies ist der datenschutzrechtlich zentrale Punkt -, dass diese Analysen nicht aufgrund von Patienten- bzw. Versichertendaten gesche- hen müssen. Eine befriedigende Lösung kann nur dann gefunden werden, wenn diese beiden Zielsetzungen klar getrennt formuliert sind. Erst dann kann daraus geschlos- sen werden, welche Informationen überhaupt dazu geeignet und notwendig sind. Wir sind in Kontakt mit Krankenversicherern, um eine Lösung zu finden, welche die er- wähnte Trennung berücksichtigt.

5. Tätigkeitsbericht 1997/1998 des EDSB 81

( 6ˆ†xˆs‡†…rpu‡

9.1. Beschränkung des Auskunftsrechtes

Brtr†‡hq‰‚6ixy…ˆtrqˆ…puqr@vqtr††v†pur9h‡r†puˆ‡“irhˆs‡…ht‡r h…qvrA…htr‚i6…‡"$9TBqr€6ˆ†xˆs‡†r…†ˆpurqrhy†@v†pu…xˆtqr†6ˆ† xˆs‡†…rpu‡r†tr€††6…‡(6i† yv‡h9TBr‡trtrtruhy‡rr…qrxh

Ausgangslage für Abklärungen bezüglich der Einschränkung des Auskunftsrechtes war das Auskunftsbegehren einer Frau an eine sich «religiös» nennende Vereinigung. Diese Vereinigung berief sich darauf, dass dem Auskunftsrecht das Beichtgeheimnis eines Mitarbeiters entgegenstehe. Art. 8 DSG räumt jeder Person das Recht ein, vom Inhaber einer Datensammlung Auskunft darüber zu verlangen, ob Daten über sie bearbeitet werden. Dieses Aus- kunftsrecht kann nach Art. 9 Abs. 1 lit. a DSG verweigert, eingeschränkt oder aufge- schoben werden, wenn es ein formelles Gesetz vorsieht. Als gesetzliche Norm kam Art. 35 DSG in Betracht. Danach macht sich strafbar, wer vorsätzlich geheime, be- sonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei der Ausübung seines Berufes oder von denen er bei der Tätig- keit für den Geheimnispflichtigen oder während der Ausbildung bei diesem erfahren hat. Die Frage, ob der Mitarbeiter der Vereinigung sich tatsächlich auf das Beichtge- heimnis berufen konnte, liessen wir offen, da deren Beantwortung am Ergebnis nichts geändert hätte. Art. 35 DSG erklärt die unbefugte Bekanntgabe zur Straftat. Unter Be- kanntgabe ist die Mitteilung an Dritte zu verstehen. Die Erteilung der Auskunft gemäss Art. 8 DSG erfolgt jedoch an die betroffene Person. Diese ist nicht Dritte Somit kommt Art. 35 DSG diesbezüglich nicht zum Tragen. Aber auch wenn die Auskunft einem von der betroffenen Person bevollmächtigten Anwalt erteilt würde, fände Art. 35 DSG kei- ne Anwendung. In diesem Fall würde die Auskunft zwar einem Dritten erteilt. Es wür- de sich jedoch nicht um eine unbefugte Bekanntgabe an einen Dritten handeln, da der Anwalt von der betroffenen Person zur Entgegennahme der Auskunft bevollmächtigt war. Weiter war von der Vereinigung das Argument vorgebracht worden, gegen das Aus- kunftsrecht der betroffenen Person spreche das überwiegende Interesse des Beicht- vaters an der Geheimhaltung. Grundsätzlich können Aufzeichnungen, die ein Beicht- vater von Aussagen der betroffenen Person gemacht hat, auch Angaben über den Beichtvater selber enthalten und somit zu Personendaten des Beichtvaters werden. Das Auskunftsrecht kann nach Art. 9 Abs. 1 lit. b DSG verweigert, eingeschränkt oder aufgeschoben werden, sofern es wegen überwiegender Interessen eines Dritten er- forderlich ist. Als Mitglied einer religiösen Vereinigung oder als Mitarbeiter derselben ist der Beichtvater nicht Dritter in diesem Sinne, da die Datenbearbeitung über ihn durch den Inhaber der Datensammlung erfolgt. Im übrigen ist die Persönlichkeit des Beichtvaters über das DSG vor einem Miss- brauch durch die betroffene Person geschützt.

9.2. Ausschluss des Auskunftsrechtes bezüglich vor Inkrafttreten des DSG ins Aus- land geschickte Personendaten

Xv…€ˆ††‡rhixy…r‚isB…Qr…†‚rqh‡rqvr‰‚…Dx…hs‡‡…r‡rqr†9TBv†6ˆ†yhq tr†puvpx‡ˆ…qrqh†6ˆ†xˆs‡†…rpu‡hˆ†tr†puy‚††rv†‡

5. Tätigkeitsbericht 1997/1998 des EDSB 82

Ausgangslage des zu beurteilenden Sachverhaltes war, dass Personendaten vor In- krafttreten des DSG ins Ausland übermittelt wurden und die betroffene Person bezüg- lich dieser Personendaten ihr Auskunftsrecht geltend machte. Auf die Beschaffung und Aufzeichnung der Personendaten vor Inkrafttreten des DSG findet das DSG keine Anwendung. Dasselbe gilt für das Verschicken der Daten ins Ausland vor dem Inkraft- treten des DSG. War dagegen im Zeitpunkt des Auskunftsgesuches das DSG bereits in Kraft und waren die Personendaten im Ausland noch vorhanden, liegt im Aufbe- wahren und allfälligen anderweitigen Bearbeiten der Personendaten im Ausland ein Bearbeiten im Sinne des DSG. Das DSG findet dann Anwendung. Das Versenden ins Ausland führt nicht zu einer Nichtanwendbarkeit des DSG. Vielmehr ist im Bearbeiten der Daten im Ausland ein Bearbeiten durch Dritte zu sehen. Gemäss dem DSG darf das Bearbeiten von Personendaten einem Dritten nur übertragen werden, wenn der Auftraggeber dafür sorgt, dass die Daten nur so bearbeitet werden, wie er es selbst tun dürfte. Lässt der Inhaber einer Datensammlung Personendaten durch einen Drit- ten bearbeiten, so bleibt er auskunftspflichtig. Dagegen ist der Dritte auskunfts- pflichtig, wenn er den Inhaber der Datensammlung nicht bekannt gibt oder dieser kei- nen Wohnsitz in der Schweiz hat. Daraus folgt, dass auch auf ins Ausland transferier- te Personendaten das Auskunftsrecht Anwendung findet.

9.3. Auskunftsrecht nach Aufnahmeprüfungen

9h†6ˆ†xˆs‡†…rpu‡xhvpu‡‰r…rvtr…‡r…qr€v‡qr…7rt…Bqˆtr††rvvqr 6yytr€rvrBr†pus‡†irqvtˆtrrtirqˆtr‚…qr6ˆpuQ…Bsˆt†r…triv††r †vqQr…†‚rqh‡rqvrqr…ir‡…‚ssrrQr…†‚hˆsWr…yhtrur…hˆ†trtrirr…qr €B††r

Einer abgelehnten Bewerberin einer Privatschule wurde das Auskunftsrecht verwei- gert mit der Begründung, gemäss den Allgemeinen Geschäftsbedingungen hätten Kandidaten keinen Anspruch auf Einsicht. Es bestehe lediglich die Möglichkeit, in ei- nem Gespräch Auskunft über die abgelegten Prüfungsergebnisse zu erhalten. Die abgelehnte Bewerberin wandte sich an uns und fragte, ob dies rechtens sei. Einer auskunftsverlangenden Person müssen grundsätzlich alle über sie in der Daten- sammlung vorhandenen Daten mitgeteilt werden. Die Auskunft kann nur verweigert werden, sofern dies ein formelles Gesetz vorsieht oder es wegen überwiegender Inte- ressen eines Dritten erforderlich ist, was vorliegend nicht der Fall war. Private Inhaber von Datensammlungen können zudem die Auskunft verweigern, einschränken oder aufschieben, soweit eigene überwiegende Interessen es erfordern und sie die Perso- nendaten nicht an Dritte bekanntgeben. Das Auskunftsrecht kann indes nicht verwei- gert werden mit der Begründung, es sei vertraglich in den Allgemeinen Geschäftsbe- dingungen wegbedungen worden. Einerseits handelt es sich um ein unverzichtbares und unverjährbares, höchstpersönliches Recht. Andererseits kann die betroffene Per- son vor sich selbst nicht geschützt werden. Es gibt also keine Geheimhaltungspflicht über Daten, welche die betroffene Person selbst betreffen. Die Privatschule änderte in der Folge ihre Allgemeinen Geschäftsbedingungen und gewährt nun das Auskunfts- recht.

5. Tätigkeitsbericht 1997/1998 des EDSB 83

Wr…†puvrqrr†

10.1. Vertrieb einer CD-ROM mit Fahrzeughalterdaten

6sht† ((&uhirv…rvr…Av…€hr€ƒs‚uyrqvrQ…‚qˆx‡v‚ˆqqrWr…‡…vrirvr… 89SPH€v‡Ahu…“rˆtuhy‡r…qh‡rrv“ˆ†‡ryyr‰ty#U‡vtxrv‡†ir…vpu‡T 9vr @€ƒsruyˆtˆ…qrhitryru‡Xv…uhirqvr6tryrtrurv‡hqvr@vqt9h‡r†puˆ‡“ x‚€€v††v‚rv‡r…tr“‚tr9vr@vqt9h‡r†puˆ‡“x‚€€v††v‚uh‡vvu…r€@‡†purvq ‰‚€ '" ((' qvr Xrv‡r…“vruˆt tˆ‡trurv††r ˆq ˆ†r…r @€ƒsruyˆt ‰‚€ & ((&ir†‡‡vt‡

Im Februar 1997 hat der Rechtsvertreter der erwähnten Firma unsere Empfehlung zur Einstellung der Produktion und des Vertriebs der CD-ROM abgelehnt. Hingegen ha- ben die Verantwortlichen der fraglichen Firma anlässlich einer Besprechung mit der Vereinigung der Strassenverkehrsämter anfangs Februar 1997 zugesichert, die Pro- duktion und den Vertrieb der CD-ROM nicht mehr aufzunehmen. Ihr Rechtsvertreter hat im März 1997 alle Strassenverkehrsämter angeschrieben und dabei zugesichert, die Fahrzeughalterdaten in Übereinstimmung mit einem allfälligen Entscheid der Eidg. Datenschutzkommission weiterhin zu bearbeiten. In der Folge haben wir die Angele- genheit an die Eidg. Datenschutzkommission weitergezogen. Wir haben u. a. den Er- lass von vorsorglichen Massnahmen zur Einstellung der Produktion und des Vetriebs der CD-ROM beantragt. Die Firma hat sich daraufhin verpflichtet, die Produktion und den Vertrieb der fraglichen CD-ROM bis zum Entscheid der Eidg. Datenschutz- kommission einzustellen. Aufgrund dieser Zusicherung haben wir unser Begehren um Erlass von vorsorglichen Massnahmen zurückgezogen. Dennoch ist die Firma ihren Zusicherungen nur teilweise nachgekommen, weshalb wir die Wiederaufnahme des Begehrens um Erlass von vorsorglichen Massnahmen wiederholt angedroht haben. Die Begründung der Weiterziehung basiert hauptsächlich auf der Verletzung der fol- genden Grundsätze: Rechtmässige Datenbeschaffung, Verhältnismässigkeits-, Zweckbindungs- und Richtigkeitsprinzip. Die Beklagte machte im wesentlichen gel- tend, die vom Eidg. Datenschutzbeauftragten beantragte Verfügung würde sie in ihrer Handels- und Gewerbefreiheit einschränken. Gegenüber den bisherigen Anbietern vergleichbarer Produkte (hauptsächlich Videotext sowie eine andere private Firma) würde im übrigen eine ungerechtfertigte Ungleichbehandlung entstehen. An der öffentlichen Verhandlung, an welcher die Firma trotz ihres Begehrens nicht teilnahm, hat sich der Eidg. Datenschutzbeauftragte zur Frage der Verletzung der Handels- und Gewerbefreiheit (HGF) wie folgt geäussert: Dateninhaber sind die kantonalen Behör- den und nicht die Weiterziehungsbeklagte. Letztere ist somit nicht legitimiert, sich auf die HGF zu berufen. Im übrigen muss die HGF jedenfalls vor den geschützten Rech- ten Dritter Halt machen. Private Firmen dürfen Fahrzeughalterdaten nur dann bearbei- ten und veröffentlichen, wenn dafür eine ausdrückliche kantonale Bewilligung vorliegt. Um eine solche Bewilligung hat sich die erwähnte Firma nie gekümmert. Bezüglich der Gleichbehandlung hat der Eidg. Datenschutzbeauftragte festgehalten, die Sachlage sei nicht gleich wie bei den bisherigen Anbietern. Im übrigen kann sich die Weiterzie- hungsbeklagte, weil unrechtmässig handelnd, nicht auf das Gleichbehandlungsprinzip berufen. Die Eidg. Datenschutzkommission hat in ihrem Entscheid vom 18.03.1998 die Weiterziehung gutgeheissen und unsere Empfehlung vom 17.01.1997 bestätigt.

5. Tätigkeitsbericht 1997/1998 des EDSB 84

10.2. Velo-Vignette und Datenschutz

Wry‚Wvtr‡‡r†vqvqr…th“rTpurv“r…uy‡yvpu‚urqh††€h†rvr9h‡r ƒ…rv†trir€ˆ††Bh…h‡vr…‡rvrWr…†vpur…ˆt†tr†ryy†puhs‡qrWr…†vpur…ˆt††puˆ‡“ rvr…Wry‚Wvtr‡‡rˆ…qhrqvrFˆqrvu…r9h‡rqr…Wr…†vpur…ˆtirxh‡ trir‰r…†‡††‡qvr†trtrqh†9h‡r†puˆ‡“tr†r‡“

Auf einer Verpackung für Velo-Vignetten fand sich der Hinweis, dass die Versicherung den Schaden nur dann vollumfänglich übernehme, wenn die Kunden den beiliegen- den Antworttalon an die Versicherung zurücksenden würden. Auf dieser Antwortkarte waren Name, Adresse, Telefon, Geburtsdatum sowie Beruf anzugeben. Personendaten, die für den Vertragsabschluss nicht erforderlich sind, dürfen jedoch nur mit Einwilligung der Kunden erhoben werden. Dabei muss die betroffene Person die Möglichkeit haben, sich einer solchen Zustimmung zu widersetzen, ohne dass dies negative Auswirkungen auf den Vertrag haben darf. Dies gilt insbesondere für Daten, die nur für Marketingzwecke gesammelt werden und mit dem Vertragsinhalt nichts zu tun haben. Für den Abschluss einer Velo-Versicherung benötigt die Versicherungsge- sellschaft keine Personendaten. Werden dennoch Daten ohne Einwilligung der Kun- den erhoben, ist dies mit dem DSG nicht vereinbar. Im weiteren ist der Hinweis auf der Verpackung so zu verstehen, dass der Versicherungsschutz von der Einsendung der Antwortkarte abhängig gemacht wird. Ein solches Vorgehen ist gegenüber den Kunden irreführend (Verstoss gegen das Transparenzprinzip). Aufgrund unserer Intervention hat sich die Versicherungsgesellschaft schliesslich be- reit erklärt, die auf diese Weise widerrechtlich erlangten Antwortkarten (ca. 48’000 Stück) zu vernichten.

10.3. Entsorgung von Personendaten auf Chips

D€€r…vr€ru…F…rqv‡ˆq@8Fh…‡rr‡uhy‡r8uvƒ†ˆ€‰r…†puvrqrrrv‡r…r7r h…irv‡ˆtr“ˆr…€tyvpurIhpu6iyhˆsqr…Bry‡ˆt†qhˆr…qr…Fh…‡r†vqqˆ…purv iy‚††r†Wr…†purvqrqr…Fh…‡rqvr8uvƒqh‡rrv‡r…uvyr†ih…@vrˆr‡vpxry‡r… MQyh†‡vxFh…‡rT‡h“r…N†‚…t‡sB…rvr‰‚yy†‡qvtrar…†‡…ˆtqr…Qr…†‚rqh‡r

Diverse Unternehmen bieten EC- oder Kreditkarten mit integrierten Chips an, die etwa zum Telefonieren verwendet werden können. Nach Ablauf der Geltungsdauer der Kar- te empfiehlt es sich, die Karte zu vernichten. Ein Zerschneiden der Plastikkarte reicht allerdings für die vollständige Vernichtung der Chip-Personendaten nicht aus. Sämtli- che im Chip gespeicherten Daten können weiterhin gelesen und allenfalls missbraucht werden. Eine private Unternehmung entwickelte und patentierte einen Plastik-Karten- Stanzer, der die Kunststoffkarte vollständig durchtrennt und den Chip zerstört, wo- durch sämtliche Daten verloren gehen.

5. Tätigkeitsbericht 1997/1998 des EDSB 85

DDD DIU@SI6UDPI6G@T

Sh‡vsv“vr…ˆtqr†5ir…rvx‚€€r†qr†@ˆ…‚ƒh…h‡r†Bir…qr9h‡r †puˆ‡“

Die Schweiz hat das Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Datenam 2. Oktober 1997 ratifi- ziert (siehe BBl 1997 I 717; siehe auch 3. Tätigkeitsbericht, S. 85, 4. Tätigkeitsbericht, S. 72). Das Übereinkommen ist für die Schweiz am 1. Februar 1998 in Kraft getreten. Neben der Schweiz haben im Jahr 1997 auch Italien und Ungarn das Übereinkommen ratifiziert, so dass die Zahl der Vertragsstaaten 20 beträgt.

! @ˆ…‚ƒh…h‡

Anlässlich der 602. Sitzung vom 30. September 1997 verabschiedete das Ministerko- mitee des Europarates die Empfehlung Nr. R (97) 18 über den Schutz von Personen- daten, die zu statistischen Zwecken erhoben und bearbeitet werden (siehe 4. Tätig- keitsbericht, S. 72 und Anhang S. 99). Die Projektgruppe für den Datenschutz (CJDP) ist zweimal zusammengetreten und hat die Arbeiten für die Annahme einer Empfeh- lung über den Schutz von Personendaten, die zu Versicherungszwecken erhoben und bearbeitet werden, fortgesetzt. Diese Empfehlung wird im wesentlichen die Privatver- sicherungen betreffen und daher im Prinzip nicht auf Sozialversicherungen, welche von der Empfehlung Nr. R (86) 1 über den Schutz von Personendaten zu Zwecken der Sozialversicherung abgedeckt sind, angewendet werden. Wir bedauern diesen Ansatz, denn aus der Sicht des Datenschutzes sind die Unterschiede zwischen den Sozialversicherungen und den übrigen Versicherungszweigen nicht relevant. Zudem kann so für die Versicherten und die Versicherer Rechtsunsicherheit entstehen. Im übrigen hat die CJPD einen Entwurf für Leitlinien über den Schutz des Menschen bei der Erhebung und Bearbeitung von Personendaten in Datenautobahnen in erster Le- sung geprüft. Im Rahmen der Benutzung der Informationstechnologien (Internet) muss eine klare, stabile und abgestimmte Regelung geschaffen werden, welche die Einhaltung der Grundrechte, insbesondere die Einhaltung des Persönlichkeitsschut- zes bei der Bearbeitung von Personendaten, gewährleistet. Ein hohes Datenschutzni- veau auf internationaler Ebene ist eine unverzichtbare Voraussetzung für die Entwick- lung eines globalen Informationsumfeldes, in dem Einzelpersonen, Verbraucher, Un- ternehmen, Institutionen, öffentliche Körperschaften und Behörden in völligem Ver- trauen und in völliger Sicherheit kommunizieren, Transaktionen durchführen, Handel treiben, Informationen austauschen können usw. Der Leitlinienentwurf wird wahr- scheinlich Gegenstand einer Empfehlung des Europarates bilden und könnte in die Verhaltenskodizes aufgenommen werden. Es soll sich um eine erste und notwendige Etappe mit Blick auf eine internationale, ja universale Regelung des Datenschutzes im Internet handeln. Der Entwurf ist in einer allgemeinverständlichen Sprache formuliert; er führt die Rechte und Pflichten der Benutzer von Datenautobahnen sowie die Ver- pflichtungen der Dienstanbieter an. Die Arbeitsgruppe Nr. 15 über die neuen Technologien ihrerseits setzt ihre Arbeiten im Bereich der elektronischen Überwachung und der Chip-Karten fort. Schliesslich ist eine Arbeitsgruppe beauftragt worden, einen Empfehlungsentwurf über den Daten- schutz im Finanzdienstleistungssektor zu erarbeiten.

5. Tätigkeitsbericht 1997/1998 des EDSB 86

Der beratende Ausschuss des Übereinkommens des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten hat vom 10. bis zum 12. Dezember 1997 seine 13. Tagung abgehalten. Wir haben die Schweiz vertreten, die sich erstmals daran beteiligt hat. Der Ausschuss hat sich in erster Le- sung mit dem Entwurf eines Ergänzungsprotokolls betreffend den Beitritt der Europäi- schen Gemeinschaften zum Übereinkommen auseinandergesetzt. Zudem hat er be- schlossen, Änderungsvorschläge zum Übereinkommen zu erarbeiten (Ergänzungs- oder Zusatzprotokoll), die sich insbesondere auf die Schaffung unabhängiger Kon- trollbehörden, die Verstärkung der Kompetenzen des beratenden Ausschusses bei der Umsetzung des Übereinkommens und auf den grenzüberschreitenden Datenver- kehr, vor allem gegenüber Drittstaaten, beziehen.

" D‡r…h‡v‚hyrF‚sr…r“qr…9h‡r†puˆ‡“irhˆs‡…ht‡r

Die XIX. Internationale Konferenz der Datenschutzbeauftragten fand vom 17. bis zum 19. September 1997 auf Einladung der belgischen Datenschutzkommission in Brüssel statt. An dieser Konferenz trafen die Datenschutzbeauftragten von 24 Staaten der ganzen Welt mit Regierungsexperten und Vertretern der Europäischen Kommission, der Industrie, Wirtschaft, Wissenschaft und des Dienstleistungssektors zusammen. Die Schweiz war durch den Stellvertreter des Eidgenössischen Datenschutzbeauftrag- ten und durch den Datenschutzbeauftragten des Kantons Zürich vertreten. Die beiden Themen Internationaler Datenschutz und Neue Technologien standen im Mittelpunkt der Konferenz. So behandelte die Konferenz das Problem des grenzüberschreitenden Datenverkehrs und ging auf die Frage ein, was unter «angemessenem» Datenschutz zu verstehen ist. Aus diesem Anlass stellten wir einen Mustervertrag für die Sicherstel- lung eines gleichwertigen Datenschutzes im Rahmen des grenzüberschreitenden Da- tenverkehrs vor (siehe 3. Tätigkeitsbericht S. 106). Der Vertrag wurde gemeinsam mit dem Europarat, der Kommission der Europäischen Gemeinschaften und der internati- onalen Handelskammer erstellt. Wir betonten, dass Vertragsklauseln zwar nicht die notwendige Gesetzgebung im Datenschutzbereich ersetzen können, aber eine wirk- same Methode darstellen, um das Fehlen von Gesetzen oder angemessenem Schutz im grenzüberschreitenden Verkehr von Personendaten auszugleichen. Zudem haben wir empfohlen, solche Verträge bei der grenzüberschreitenden Übermittlung von Per- sonendaten in Staaten mit gleichwertigen Gesetzen abzuschliessen, weil so insbe- sondere der Zweck der Bearbeitung und der legitime Zugriff auf die Daten erläutert werden können (siehe auch Seite 70). Des weiteren befasste sich die Konferenz mit der Umsetzung der Europäischen Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in den Mit- gliedsstaaten sowie mit der Frage des internationalen Datenschutzes im Polizeiwesen. Zu diesem Punkt ist vor allem der Appell nach weitergehender Harmonisierung der Datenschutzvorschriften und nach der Errichtung unabhängiger Kontrollbehörden zu erwähnen. Eine internationale Zusammenarbeit im Polizeiwesen ist heute ohne natio- nale und internationale Datenschutzbestimmungen, die vor allem eine anarchische Entwicklung der Zusammenarbeit und der zugrundeliegenden Datenbanken vermei- den sollen, undenkbar. Der Datenschutz plädierte ferner für eine verstärkte Beteili- gung und Information der Bürger bei der grenzüberschreitenden Erhebung und Über- mittlung von Daten. Die betroffenen Personen müssen die Systeme und den verfolg- ten Zweck kennen. Datenschutz und Verbrechensbekämpfung stellen trotz des Span- nungsfelds keine entgegengesetzten Ziele dar: die Berücksichtigung der datenschutz- rechtlichen Auflagen bildet kein Hindernis für eine effiziente Verbrechensbekämpfung.

5. Tätigkeitsbericht 1997/1998 des EDSB 87

Im Bereich der neuen Technologien ist insbesondere das in Deutschland verabschie- dete Multimedia-Gesetz zu erwähnen, welches das Recht auf Selbstbestimmung in Sachen Information im Telekommunikationsbereich vorsieht. Dieses Recht ist bei sämtlichen Telekommunikationsgesellschaften sowie bei allen öffentlichen oder priva- ten Diensten in diesem Sektor einklagbar. Zudem verankert das Gesetz das Recht auf Anonymität bei der Benutzung des Internet, das Verbot des Abhörens von drahtlosen Telefonen (Handy), ausgenommen unter legalen Voraussetzungen und bei entspre- chender Bewilligung. Das Gesetz schreibt vor, in welcher Form und unter welchen Angaben ein Benutzer im Telefonverzeichnis stehen kann, und regelt die digitale Un- terschrift.

Daneben befasste sich die Konferenz mit den Themen Datenschutz und Medien, Ge- sundheitskarte, Abhören von Telefongesprächen am Arbeitsplatz, Information der Öf- fentlichkeit und mit dem Problem des Datenschutzes im Internet. Den Schwerpunkt bildete die notwendige Garantie der Anonymität und die Kontrolle durch unabhängige Stellen. Zudem wurde erneut betont, dass die Technologien Lösungen zur Gewähr- leistung des Datenschutzes bieten könnten. Verschiedene Projekte, die auf daten- schutzfreundliche Technologien zurückgreifen, befinden sich in einer Testphase - vor allem in den Niederlanden (psychiatrische Krankenhäuser) und in Kanada.

P@89

9vrSrtˆyvr…ˆt†‰r…†ˆpurqr…Wr…rqˆt‰‚Wr…†puy+††ryˆt†‰r…shu…r

D€Hhv ((&ˆ…qrqvrP@89Svpu‡yvvrBir…F…’ƒ‡‚t…hƒuvr‰r…hi†puvrqr‡9vrSvpu‡ yvvrr…qrhˆpu‰‚rvr€r…xy…rqr7r…vpu‡irtyrv‡r‡qr…‰‚€P@89Trx…r‡h…vh‡ ‰r…sh††‡ˆ…qr

Die auf Anregung der Vereinigten Staaten ins Leben gerufene ad hoc OECD-Ar- beitsgruppe hat während der letzten drei Jahre an der Erarbeitung einer Richtlinie zur Kryptographie gearbeitet. Im Verlauf der Arbeiten wurde ersichtlich, dass die Mitglied- länder zum Teil recht stark divergierende Ansichten zum Thema Kryptographie haben. Folglich konnte man drei verschiedene Zielrichtungen von Mitgliedstaaten unterschei- den. Eine Gruppe legte das Schwergewicht auf eine möglichst strikte Regulierung der Verwendung von Kryptographie. Eine andere Gruppe wollte eine möglichst weltweit liberale Politik, und eine dritte Gruppe war zurückhaltend und wartete die Entwicklun- gen in anderen Ländern ab. Aus dieser Situation resultierte auch die verabschiedete Richtlinien, welche die verschiedenen Ansichten zur Problematik berücksichtigte. Da- bei stellt sich das Problem, dass die Richtlinien vage formuliert wurden und sich des- halb auch nicht zur zentralen Frage der Schlüsselhinterlegung äussern. Vielmehr be- finden sich einige von der Richtlinien aufgestellte Prinzipien gar im Widerspruch. Er- sichtlich ist dies insbesondere beim fünften und sechsten Prinzip. Im fünften Prinzip wird der Schutz der Privatsphäre und der Datenschutz garantiert. Anschliessend statu- iert das sechste Prinzip den Zugangsanspruch staatlicher Behörden zu verschlüssel- ten Informationen. Unter diesen Umständen können die OECD-Richtlinien - die nicht direkt anwendbar, sondern lediglich Handlungsanleitungen für die Mitgliedstaaten sind

• von den Mitgliedstaaten recht unterschiedlich interpretiert werden. Bemerkenswert ist, dass auch nach der Verabschiedung dieser absichtlich mit inneren Widersprüchen versehenen Richtlinien die USA über politische Kanäle nichts unversucht lassen, um

5. Tätigkeitsbericht 1997/1998 des EDSB 88

in anderen Ländern ihre restriktive Kryptographiepolitik verwirklicht zu sehen. Bereits im Dezember 1997 hat in Paris ein von den USA initiierter Workshop mit Nicht-OECD- Mitgliedstaaten stattgefunden. Bemerkenswert ist, dass hauptsächlich Staaten einge- laden wurden, die entweder schon eine restriktive Kryptographiepolitik betreiben oder schlicht die Anwendung der kryptographischen Verfahren den staatlichen Behörden reservieren. Im kommenden Jahr ist geplant, dass die OECD daran arbeiten wird, wie sich die Richtlinien in der verschiedenen Mitgliedländer implementieren lassen kön- nen. Über die Stellung des EDSB zur Kryptokontroverse siehe Bericht auf Seite 71.

9vr@‘ƒr…‡rt…ˆƒƒrDIU@SI@U

Die OECD hat auf Initiative Belgiens und Frankreichs eine ad hoc Gruppe betreffend die Regulierung der Inhalte auf dem INTERNET eingesetzt. Anschliessend wurde ein Inventar über die bestehenden nationalen Regulierungen im INTERNET erstellt. An der Sitzung der ad hoc Gruppe im Oktober 1997 wurden verschiedene Vorschläge der Mitgliedsländer über die Inhaltsregulierung auf dem INTERNET diskutiert. Dabei stell- te sich heraus, dass die grosse Mehrheit der Mitgliedstaaten die Probleme betreffend Rechtssicherheit und -durchsetzung auf dem INTERNET erkennt. Sie wünscht aber nicht, dass diese Probleme primär durch staatliche Interventionen geregelt werden. Es wird festgehalten, dass der private Sektor die notwendigen Technologien für die sich auf dem INTERNET stellenden Probleme (unter anderem auch Schutzmassnahmen für Minderjährige) entwickeln soll und dass die OECD weiterhin ein Forum für Koordi- nation und Informationsaustausch bleibt. Bei den zukünftigen Diskussionen, die im Rahmen der OECD über die Probleme mit dem INTERNET geführt werden, sollen jedoch die auftretenden Probleme unter Ein- bezug von Vertretern des privaten Sektors, von Datenschutzbehörden und Konsumentenorganisationen diskutiert werden.

$ 7vyh‡r…hyr6ix‚€€r

6ix‚€€r€v‡A…hx…rvpuˆq9rˆ‡†puyhq+ir…qvrt…r“+ir…†pu…rv‡rqrƒ‚yv“rvyv puraˆ†h€€rh…irv‡

D€†‚tTpurtrr…6ix‚€€ruhirqvr@VT‡hh‡rqvrt…r“Bir…†pu…rv‡rqraˆ †h€€rh…irv‡v€7r…rvpuHvt…h‡v‚ˆqQ‚yv“rvtr…rtry‡9vrTpurv“v†‡hy†Ivpu‡€v‡ tyvrqqr…@Vir†‡…ri‡hˆsivyh‡r…hyr€Xrt€v‡†rvrIhpuih…rvMHvvTpurtrN rv“ˆ…vpu‡r9vrir…rv‡†hitr†puy‚††rrWr…‡…trv€7r…rvpuHvt…h‡v‚…rtryqr 9h‡r†puˆ‡“uv…rvpurqD€Q‚yv“rvir…rvpuuvtrtr€B††r‚pur…uriyvpurW‚…ir uhy‡rtr€hpu‡r…qr

Die Zusammenarbeit unter den europäischen Strafjustizbehördenregelt das europäi- sche Rechtshilfeabkommen und bilaterale Ergänzungsverträge sowie das Bundesge- setz über die internationale Rechtshilfe in Strafsachen. Dabei sind Rechtshilfehand- lungen grundsätzlich nur bei einer gewissen Schwere einer Straftat, auf begründetes Ersuchen und zwischen den genau umschriebenen Justizbehörden statthaft. Bei be- sonderer Dringlichkeit ist auch der direkte Informationsaustausch auf Polizeistufe zu- lässig. Das Schengener Abkommen geht einen Schritt weiter und institutionalisiert die

5. Tätigkeitsbericht 1997/1998 des EDSB 89

Amts- und Rechtshilfe direkt zwischen den Polizeibehörden. Auch hier sollen Rechts- hilfehandlungen nur bei einer gewissen Schwere der Straftat und über die zentralen Polizeistellen erfolgen, welche die Zulässigkeit prüfen und die Koordination sicherstel- len. In dringenden Fällen dürfen auch die Polizeibehörden unterer Stufe direkt zusam- menarbeiten. Sie müssen aber unverzüglich die zentralen Stellen benachrichtigen und deren Einverständnis einholen. Das ist u.a. deshalb nötig, weil man sich gegenseitig vergleichsweise weitreichende hoheitliche Befugnisse im Bereich der Strafverfolgung abtritt (verdeckte Ermittlung, grenzüberschreitende Nacheile). Entsprechend detailliert sind die Einzelheiten im Schengener Abkommen umschrieben. Im Rahmen von sog. «Memorandums of Understanding» hat der Bundesrat den von ihm eingesetzten Verhandlungsdelegationen weitreichende Kompetenzen gegeben, auf bilateralem Weg mit unseren Nachbarn Verträge auszuarbeiten, welche die Schweiz in die Sicherheitsarchitektur Europas einbetten sollen. Dabei wurden wir auch um unsere Meinung aus datenschutzrechtlicher Sicht gebeten. Wir stellten fest, dass hinsichtlich des Datenschutzes zwar noch wenig konkrete Vorstellungen bestanden, dass man aber andererseits das vergleichsweise detaillierte Schengener Vertragswerk (mit ausführlichem sektoriellem Datenschutz) in gewissen Bereichen als zu einschrän- kend empfand. In dieser Situation entschlossen wir uns, eine genaue Untersuchung über die heutigen Datenbearbeitungen bei der polizeilichen Zusammenarbeit im grenznahen Bereich durchzuführen, für die anstehenden Verträge datenschutzrechtli- che Standardbestimmungen auszuarbeiten und den Verhandlungsdelegationen darzulegen, welche der ins Auge gefassten Datenbearbeitungen nach unserer Auffas- sung unzulässig wären. Zur vorab staatspolitischen Frage, wie weit die polizeiliche Zusammenarbeit mit den bilateralen Abkommen über die Vertragsgegenstände von Schengen hinaus ausgedehnt werden kann und soll, äusserten wir uns mangels Zu- ständigkeit nicht. In der Folge liessen wir uns die Datenbearbeitungen des schweizerischen Grenz- wachtkorps in Genf und Neuhausen vorführen. Zugleich erhielten wir auch einen Ein- blick in die Datenbearbeitungen einer grenznahen kantonalen Polizeibehörde. Bei die- ser Gelegenheit unterbreiteten wir den Teilnehmern einen datenschutzrechtlichen Problemkatalog für grenzüberschreitende Datenbearbeitungen, welchen wir auch den Verhandlungsdelegationen erläuterten. Wichtig scheint uns, dass vorab eine zentrale polizeiliche Kontrollinstanz für den Datenschutz verantwortlich ist und ihn zu gewähr- leisten vermag. Jemand muss nach klaren Kriterien entscheiden, welche Polizeidaten unter welchen Umständen zu welchen Zwecken und mit welchen Auflagen versehen an eine ausländische Polizeibehörde weitergegeben werden dürfen. Beispielsweise müssen die im Rahmen einer verdeckten Ermittlung anfallenden Daten unbescholte- ner Bürger (unbeteiligte Dritte) sofort vernichtet werden, und sie dürfen von den in der Schweiz ermittelnden ausländischen Polizeibehörden nicht ins Ausland mitgenommen werden. Das Problem stellt sich akzentuiert, wenn von der Polizei ungesicherte Flücht- lingsdaten an die - via Interpol weltweit miteinander verbundenen - ausländischen Po- lizeibehörden bekanntgegeben werden. Ueberhaupt muss klar sein, was mit ungesi- cherten Daten im Ausland geschieht und welche (strengen) Voraussetzungen erfüllt sein müssen, damit solche Daten allenfalls an weitere Behörden bekanntgegeben werden dürfen. Ausländische Polizeistellen dürfen zudem nicht online auf schweizeri- sche Personendatensammlungen zugreifen. Die Amtshilfe muss - etwa an stark be- fahrenen Grenzübergängen - anders geregelt werden. Auch wenn wir in den Verhandlungsdelegationen nicht permanent vertreten sind, hof- fen wir, dass diese wichtigen Fragen, die auch im wohlverstandenen Interesse der Polizei liegen, einer guten datenschutzrechtlichen Lösung zugeführt werden. Unsere

5. Tätigkeitsbericht 1997/1998 des EDSB 90

redaktionellen Vorschläge für sektorielle Datenschutzbestimmungen verstehen wir als wichtigen Beitrag zur Erreichung dieses Ziels.

% 6†’yˆqv‡r…h‡v‚hyrSrpu‡†uvysrv€Tƒhˆt†sryq

9vr9h‡rirh…irv‡ˆtrhy††yvpurvr†v‡r…h‡v‚hyrSrpu‡†uvysrtr†ˆpur†uhir “ˆ“huy…rvpur6s…htrtrsBu…‡7rvˆ†r…r…6ixy…ˆtuhirv…v€7ˆqr†h€‡sB… AyBpu‡yvtrxrvrˆ†‡h‡‡uhs‡r9h‡rirh…irv‡ˆtrsr†‡tr†‡ryy‡Cvtrtr‰r…yht‡r v…qh††qr…9h‡rhˆ†‡hˆ†pu€v‡qr€7ˆqr†h€‡sB…Q‚yv“rvr†rvrvr€7rh…irv ‡ˆt†…rtyr€r‡qr‡hvyyvr…‡ˆ€†pu…vrirv…q

Die spektakuläre Flucht eines angeblichen Terroristen aus einem ausländischen Hochsicherheitsgefängnis, sein Asylgesuch in der Schweiz, das anschliessende Rechtshilfeersuchen der ausländischen Regierung und die darauffolgende Verhaftung haben in allen Medien der Schweiz starke Beachtung gefunden und auch zu politi- schen Vorstössen geführt. Dabei wurden wir wiederholt mit der Frage konfrontiert, ob gewisse Ereignisse nicht den Schluss nahelegten, dass es auf schweizerischer Seite zu unstatthaften Datenübermittlungen an die ausländischen Militärjustizbehörden des betreffenden Staates gekommen sei. Gegen diesen Staat wird regelmässig der ernst- zunehmende Vorwurf der Folter erhoben. Gemäss Datenschutzgesetz ist es uns verwehrt, den im Rahmen eines Rechtshil- feverfahrens erfolgten Verkehr zwischen den zuständigen schweizerischen und aus- ländischen Rechtshilfebehörden zu überprüfen. Hierfür sind andere Behörden und in letzter Instanz das schweizerische Bundesgericht zuständig, welches hierbei auch das international geltende Verbot der Folter berücksichtigt. Indessen können wir prüfen, ob andere als die Rechtshilfebehörden ohne gesetzliche Grundlage besonders schüt- zenswerte, vertrauliche Daten etwa des Asylverfahrens an Behörden im In- und Aus- land weitergegeben haben. Im weiteren können wir abklären, ob die schweizerische Rechtshilfebehörde ohne hinreichenden Bezug zu einem Rechtshilfeverfahren oder ohne die gebotene Güterabwägung und Rücksprache mit dem Inhaber der Daten- sammlung die ihr zugekommenen Personendaten etwa aus einem Asylverfahren an eine ausländische Behörde weitergegeben hat. Im Rahmen unserer Abklärung hat uns das Bundesamt für Flüchtlinge vorliegend gu- ten Aufschluss über seine Datenbearbeitungen im bestimmten Fall gegeben. Wir konnten darin keine Verletzungen des Datenschutzrechts erkennen. Hingegen muss- ten wir bemängeln, dass ein Bearbeitungsreglement für die heiklen Daten- bekanntgaben zwischen dem Bundesamt für Flüchtlinge und dem Bundesamt für Po- lizeiwesen fehlt. Ein solches sollte die Vorschriften des totalrevidierten Asylgesetzes in diesem Bereich näher ausführen und unverzüglich geschaffen werden.

& D‡r…h‡v‚hyr6…irv‡†t…ˆƒƒrsB…9h‡r†puˆ‡“vqr…Uryrx‚€€ˆvxh‡v‚

Die Arbeitsgruppe, die vom Berliner Datenschutzbeauftragten präsidiert wird, be- zweckt, den Datenschutz im Bereich der Telekommunikation und der Medien zu verbessern. Die Diskussion und der Erfahrungsaustausch ist in diesem Bereich sind für den EDSB sehr wertvoll. Am 22. Meeting am 27. September 1997 setzte man sich unter anderem mit den Entwicklungen im Telekommunikationsrecht auseinander. Man

5. Tätigkeitsbericht 1997/1998 des EDSB 91

erörterte Datenschutzprobleme - aber auch neue Techniken wie «Platform for Privacy P3P» des WWW Consortiums - im Zusammenhang mit Internet und verfasste eine Stellungnahme, die sich kritisch zu Regulierungsbestrebungen der Kryptographie äus- sert.

DW 9@S@D9B@IETTDT8C@96U@IT8CVUa7@6VAUS6BU@

Wvr…‡r†purv“r…v†purF‚sr…r“qr…9h‡r†puˆ‡“irhˆs‡…ht‡r ((&

9vr‰vr…‡r†purv“r…v†purF‚sr…r“qr…9h‡r†puˆ‡“irhˆs‡…ht‡rshqh€"I‚‰r€ ir… ((&v8h†‡ryt…hqrv7ryyv“‚h†‡h‡‡P…thv†vr…‡ˆ…qr†vr‰‚€9h‡r†puˆ‡“ irhˆs‡…ht‡rqr†Fh‡‚†Ur††v6qr…F‚sr…r“ir‡rvyvt‡r†vpuqr…@vqtr††v †pur9h‡r†puˆ‡“irhˆs‡…ht‡rqvr9h‡r†puˆ‡“irhˆs‡…ht‡rqr…Fh‡‚rˆqBr€rv qr†‚vrqvrBi…vtrxh‡‚hyr9h‡r†puˆ‡“‰r…h‡‚…‡yvpurIrirqr€@vqtr† †v†pur7rhˆs‡…ht‡rh…r 'Fh‡‚rˆq!Br€rvqrhr†rq

Folgende Themen wurden behandelt: Zentralregister und damit verbundene Daten- schutzprobleme, Internet (Sicherheit und Überwachung der Mitarbeiter), Datenschutz im Polizeiwesen, Kontrollrechte des Datenschutzbeauftragten, elektronische Daten- übermittlung im Gesundheitsbereich, Datenschutz in den Sozialversicherungen. Des weiteren verabschiedete die Konferenz eine Resolution über die Bekanntgabe der ICD-10-Diagnose-Codes an die Versicherer (siehe Anhang S. 102). Die Konferenz verlangte, den Datenverkehr zum einen auf die notwendigen und zweckdienlichen Da- ten zu beschränken und zum anderen von der geplanten Einführung der ICD-10- Codes in der Rechnungskontrolle abzusehen. Zur Gewährleistung des Arztgeheimnis- ses sollen Kosten- und Wirtschaftlichkeitskontrollen nicht pro Versicherten, sondern pro Fall durchgeführt werden. So werden weder die Verwaltungsdienste der Versiche- rer mit nutzlosen Datentransfers belastet noch das Arztgeheimnis gefährdet. Zudem könnte dies einen aktiven Beitrag zur Eindämmung der Gesundheitskosten bilden (siehe auch oben S. 79). Die Arbeitsgruppe der kantonalen Datenschutzbeauftragten trat viermal zusammen und behandelte vor allem Fragen aus den Bereichen Gesundheit, Statistik, Beschäfti- gung, Polizei, Ausländerrecht und Strassenverkehr (Veröffentlichung der Zulassungs- nummern von Fahrzeughaltern). Daneben setzte sie sich mit ihren Arbeitsmethoden auseinander und beschloss, auf Versuchsbasis eine jährliche Präsidentschaft einzu- führen und Untergruppen einzusetzen. Wir haben uns regelmässig an den Arbeiten der Gruppe beteiligt.

! 9vrQˆiyvxh‡v‚rqr†@9T7Irˆr…†purvˆtr

• Merkblatt über private Markt-und Meinungsumfragen
• Merkblatt über die Anmeldeformulare für Mietwohnungen
• Merkblatt über die Auswirkungen des Gleichstellungsgesetzes

5. Tätigkeitsbericht 1997/1998 des EDSB 92

" T‡h‡v†‡vxBir…qvrU‡vtxrv‡qr†@9T7

Zeitraum 1. April 1997 bis 31. März 1998

5. Tätigkeitsbericht 1997/1998 des EDSB 93

Anzahl der Stellungnahmen

5. Tätigkeitsbericht 1997/1998 des EDSB 94

Anzahl der Stellungnahmen

5. Tätigkeitsbericht 1997/1998 des EDSB 95

Telefonauskunft

5. Tätigkeitsbericht 1997/1998 des EDSB 96

Telefonauskunft Nach Anfragenden

5. Tätigkeitsbericht 1997/1998 des EDSB 97

Telefonauskunft Nach Sachgebiet

5. Tätigkeitsbericht 1997/1998 des EDSB 98

9h†Trx…r‡h…vh‡qr†@vqtr††v†pur9h‡r†puˆ‡“irhˆs‡…ht‡r

@vqtr††v†pur…9h‡r†puˆ‡“irhˆs‡…ht‡r…)Bˆ‡r…Pqvy‚9…vˆ…

Stellvertreter: Walter Jean-Philippe, Dr. iur.

Trx…r‡h…vh‡)

Leiter: Walter Jean-Philippe, Dr. iur.

Stellvertreterin: Grand Carmen, lic. iur.

Delegierter für Information und Presse Tsiraktsopulos Kosmas, lic. iur.

Rechtsdienst: 9 Personen

Informatikdienst: 4 Personen

Kanzlei: 3 Personen

5. Tätigkeitsbericht 1997/1998 des EDSB 99

W 6IC6IB

5. Tätigkeitsbericht 1997/1998 des EDSB 100

@€ƒsruyˆtqr†@ˆ…‚ƒh…h‡†Bir…qrTpuˆ‡“‰‚Qr…†‚rqh‡rqvr “ˆ†‡h‡v†‡v†purarpxrr…u‚irˆqirh…irv‡r‡r…qr

Vgl. S. 216 ff.

5. Tätigkeitsbericht 1997/1998 des EDSB 101

! Svpu‡yvvrqr…D‡r…h‡v‚hyr6…irv‡†‚…thv†h‡v‚

Arbeitnehmer/innen haben Anspruch auf eine angemessene Privatsphäre am Arbeitsplatz.

• Arbeitnehmer/innen wissen, welche elektronischen Überwachungsmethoden verwendet werden und wie der Arbeitgeber die dabei erhobenen Daten ver- wendet.

• Der Arbeitgeber verwendet elektronische Überwachungsmethoden oder Durch- suchungen von Datensammlungen, Netzwerkkommunikation oder E-Mail so wenig wie möglich. Dauernde elektronische Überwachung ist nicht gestattet.

• Arbeitnehmer/innen sind an der Entscheidung, wann und wie elektronische Ü- berwachungsmethoden oder Durchsuchungen stattfinden, beteiligt.

• Daten werden nur zu klar definierten, mit der Arbeit zusammenhängenden Zwecken erhoben und verwendet.

• Überwachungen und Durchsuchungen ohne vorgängige Information der Arbeit- nehmer/innen werden nur vorgenommen, wenn ernstzunehmende Anhalts- punkte auf kriminelle Tätigkeiten oder andere Missbräuche hinweisen.

• Die Beurteilung der Leistungen der Arbeitnehmer/innen beruht nicht allein auf den Überwachungsergebnissen.

• Arbeitnehmer/innen haben das Recht, die bei der elektronischen Überwachung über sie erhobenen Daten einzusehen, zu kritisieren und zu berichtigen.

• Aufnahmen, die für den Zweck zu dem sie erhoben wurden, nicht mehr länger benötigt werden, sind zu vernichten.

• Überwachungsdaten, durch die individuelle Arbeitnehmer/innen identifiziert werden können, werden nicht an Dritte bekanntgegeben, es sei denn, es be- stehe dafür eine gesetzliche Pflicht.

• Arbeitnehmer/innen oder zukünftige Arbeitnehmer/innen können auf das Recht auf Privatsphäre nicht verzichten.

• Vorgesetzte, welche diese Grundsätze verletzen, müssen mit Disziplinarmass- nahmen oder Entlassung rechnen. *Quelle: "A model employment/privacy policy", in Workers’ privacy, Part II: Monitoring and surveillance in the workplace, Conditions of work digest, International Labour Office, Genf 1993, S. 75. Übersetzung: EDSB, 3003 Bern.

5. Tätigkeitsbericht 1997/1998 des EDSB 102

" Sr†‚yˆ‡v‚qr…DWIh‡v‚hyrF‚sr…r“qr…9h‡r†puˆ‡“irhˆs‡…ht‡r

D89 9vht‚†rp‚qr†hWr…†vpur…r…‰r…yr‡“rqh†Qh‡vr‡rtrurv€v†

Die nationale Konferenz der Datenschutzbeauftragten teilt die Besorgnis von Spitä- lern, Ärzten und Patientinnen und Patienten, dass ein zunehmender Datenfluss zu den Versicherungen das Patientengeheimnis in Frage stellt. Dieser Datenfluss führt nicht nur zu einem kostenverursachenden Mehraufwand, sondern widerspricht auch dem Grundgedanken des Krankenversicherungsgesetzes (KVG). Immer häufiger läuft eine grosse Masse von Informationen automatisch und oft ohne Wissen der Betroffe- nen vom Spital zum Versicherer. Dabei verlangen die Versicherer, dass die Diagnose- informationen in jedem Fall und voraussetzungslos in Form des detaillierten - über 10’000 Positionen umfassenden ICD-10-Diagnosecodes geliefert werden. Zwar gibt das KVG den Versicherern das Recht, im Einzelfall detaillierte Angaben zu verlangen. Eine automatischen Mitteilung solcher Informationsmengen ist jedoch vom KVG nicht gedeckt. Damit würde das Patientengeheimnis umgangen, da der Vertrauensarzt die Datenmenge nicht mehr bearbeiten kann und die sensiblen Gesundheitsdaten direkt in die Administration der Versicherer fliessen. Der kritisierte Datenfluss ist im übrigen aus folgenden Gründen exzessiv sowie langfristig auch gefährlich:

Der ICD-10 Code ist eine von der Weltgesundheitsorganisation weiterentwickel- te Klassifikation, welche globalen Statistik- und Forschungszwecken dient und deshalb auch viele Codierungsziffern aufweist, die nicht Diagnosen von Krank- heiten betreffen, sondern vielmehr bestimmte Verhaltensweisen („antisoziale Persönlichkeit“, „oppositionelles Verhalten“ des jugendlichen Patienten, „Erzie- hungsfehler der Eltern“, „gesteigertes sexuelles Verlangen“ oder „Konflikte mit Vorgesetzten“) beschreibt. Aber auch sonst sind die Codes in vielerlei Hinsicht für die Überprüfung von Rechnungen ungeeignet. So kann etwa die Berechti- gung der teuren Computertomographie nicht mittels des erst im nachhinein be- kannten Diagnosecodes geprüft werden, und die Spitalbedürftigkeit eines Pati- enten hängt oft stärker von seinem sozialen Umfeld ab als von einer Diagnose. Weiter erhöht die Codierung der Informationen die Gefahr, dass Verdachts- oder Ausschlussdiagnosen nach ihrer Übermittlung als bestätigte Diagnosen gewertet oder gerade in ihrer Bedeutung umgekehrt werden. Zudem wären kostspielige Einrichtungen zu schaffen, um den Patientinnen und Patienten die Codierung transparent zu machen. Ausserdem sind bis heute die Aufbewahrungsdauer und der Verwendungs- zweck der Daten beim Versicherer nicht transparent, weshalb die Gefahr be- steht, dass die Daten für andere Versicherungszweige missbraucht werden.

Die nationale Konferenz der Datenschutzbeauftragten fordert daher, dass der Daten- fluss auf die notwendigen und geeigneten Daten beschränkt wird, dass die geplante Einführung des ICD-10 Codes für die Rechnungsprüfung gestoppt wird. Damit das Patientengeheimnis gewahrt werden kann, sind die Kosten- und Wirtschaftlichkeits- prüfung nicht versicherten- sondern fallbezogen durchzuführen. Mit einem solchen Vorgehen wird weder die Administration durch unnötigen Datentransfer aufgebläht, noch das Patientengeheimnis in Frage gestellt. Damit könnte gar ein aktiver Beitrag zur Kostenbegrenzung verwirklicht werden.

5. Tätigkeitsbericht 1997/1998 des EDSB 103

@vvyyvtˆt†xyhˆ†rysB…qh†@…†purvr‰‚D†r…h‡rvPyvr9vr†‡r

@vvyyvtˆt†r…xy…ˆt

gemäss Art. 13, Abs. 1 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992; (DSG, SR 235.1)

1. Die für das Erscheinen des Inserates verantwortliche Gesellschaft ist verpflich- tet, alle Massnahmen zur Gewährleistung des Datenschutzes zu ergreifen, die durch die Umstände geboten erscheinen. Angesichts der besonderen Eigen- schaften von Online-Verfahren (insbesondere Internet), kann die für das Er- scheinen des Inserates verantwortliche Gesellschaft den Datenschutz jedoch nicht umfassend garantieren. Daher nimmt der Inserent die Risiken für eine Persönlichkeitsverletzung zur Kenntnis, und ist sich bewusst, dass:

1.1. die Personendaten auch in Staaten abrufbar sind, die keine derSchweiz vergleichbaren Datenschutzbestimmungen kennen,

1.2. die Vertraulichkeit der Personendaten nicht garantiert ist,

1.3. die Integrität der Personendaten nicht garantiert ist,

1.4. die Authentizität der Personendaten nicht garantiert ist,

1.5. die Verfügbarkeit der Personendaten nicht garantiert ist.

2. Der Inserent kann seine Einwilligung jederzeit zurückziehen.

Der Unterzeichner bestätigt, die Punkte 1 und 2 zur Kenntnis genommen zu haben und erlaubt gemäss Art. 13 Abs. 1 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992; DSG, SR 235.1) der Firma .................................................................................................................... das diesem Vertrag zugrundeliegende Inserat online (Online-Dienst / Internet ; Zugangsadresse) .................................................................................................................... zur Verfügung zu stellen

Ort und Datum: Unterschrift:

............................................................ ...............................................

5. Tätigkeitsbericht 1997/1998 des EDSB 104

$ 7rxh‡thir‰‚6…irv‡†y‚†rqh‡rh7r‡…rviˆt†iru…qr)9h‡r †puˆ‡“WQ7 ((&DDDT%%#ss

6ˆst…ˆqqr…ir†‚qr…r@€ƒsvqyvpuxrv‡qr…6…irv‡†y‚†rqh‡r†vqqvrW‚yy “ˆt†iru…qrqr…6…irv‡†y‚†r‰r…†vpur…ˆtrvr…hyytr€rvrTpurvtrƒsyvpu‡ ˆ‡r…†‡ryy‡@vr7rxh‡thir‰‚6…irv‡†y‚†rqh‡rh7r‡…rviˆt†iru…qr ‚ur†pu…vs‡yvpur†@v‰r…†‡ qv†qr…Wr…†vpur…‡rv†‡hˆst…ˆqqr…hi†puyvr† †rqr6ˆ†hu€r…rtryˆthˆ†tr†puy‚††r9vr†rSrtryˆttvy‡hy†yr‘†ƒrpvh yv†trtr$ir…6…‡( 6i†$TpuFB

Gegenstand vorliegender Stellungnahme bildet die Normenkollision zwischen Art. 97 des Ar- beitslosenversicherungsgesetzes (AVIG, SR 837.0) und Art. 125 der Arbeitslosenversiche- rungsverordnung (AVIV, RS 837.02) einerseits und Art. 91 Abs. 5 des Bundesgesetzes über Schuldbetreibung und Konkurs (SchKG, SR 281.0) andererseits.

Es stellt sich in diesem Zusammenhang die Frage, wie die revidierte Bestimmung über die Auskunftspflicht gegenüber Betreibungsbehörden (Art. 91 Abs. 5 SchKG) in bezug auf die Geheimhaltungspflicht und die spezielle Bekanntgaberegelung in der Arbeitslosenversiche- rungsgesetzgebung anzuwenden ist. Insbesondere ist zu klären, ob eine Bekanntgabe von Arbeitslosendaten an Betreibungsbehörden ohne Einwilligung der Versicherten möglich ist.

Die Rechtsgrundlagen sehen folgendermassen aus:

6…‡(&6WDB)

Qr…†‚rqvrhqr…9ˆ…pus+u…ˆtqr…F‚‡…‚yyr‚qr…qr…7rhˆs†vpu‡vtˆtqr…Wr…†vpur …ˆtir‡rvyvt‡†vquhir+ir…vu…rXhu…ru€ˆtrtrtr+ir…9…v‡‡rTpurvtr“ˆirhu …r

T‚rv‡xrvrƒ…v‰h‡r‚qr…>ssr‡yvpurD‡r…r††rr‡trtr†‡rurxhqr…7ˆqr†…h‡ 6ˆ†hu€rtr†‡h‡‡r

6…‡ !$6WDW)

Qr…†‚rqvrhqr…9ˆ…pus+u…ˆtqr…F‚‡…‚yyr‚qr…qr…7rhˆs†vpu‡vtˆtqr…Wr…†vpur …ˆtir‡rvyvt‡†vqtrirqr“ˆ†‡6qvtrT‡ryyrqr…hqr…rT‚“vhy‰r…†vpur…ˆt†“rvtr †‚vrqrA+…†‚…triru>…qrhˆs6s…htrx‚†‡ry‚†qvrwrvtr6ˆ†x+s‡rˆqV‡r…yhtrqvr s+…qvr6ixy6…ˆt‰‚6†ƒ…+purqvrS+pxs‚…qr…ˆt‰‚Grv†‡ˆtrqvrWr…uvqr…ˆtˆ tr…rpu‡sr…‡vt‡r…7r“+trqvrAr†‡†r‡“ˆt‰‚Wr…†vpur…ˆt†irv‡…6tr‚qr…qrS+pxt…vsshˆs uhs‡ƒsyvpu‡vtr9…v‡‡r‚‡rqvt†vq

6qr…rP…thrqr†7ˆqr†qr…Fh‡‚rˆqqr…Br€rvqr†‚vrQ…v‰h‡rq+…sr6ˆ† x+s‡r+ir…Wr…†vpur…‡rˆ…€v‡qr…r†pu…vs‡yvpur@vvyyvtˆtr…‡rvy‡r…qrXv…qqvr†r† @v‰r…†‡6qv†vpu‡r…‡rvy‡†‚x>rhˆ†hu€†rv†r†‚sr…xrv+ir…vrtrqr†ƒ…v‰h‡r† ‚qr…>ssr‡yvpur†D‡r…r††rr‡trtr†‡ru‡v€@v“ryshyyˆqhˆs6s…htruvhˆst…ˆqrvr… Wr…s+tˆtqr†7DB6trtr+ir…s‚ytrqr7ru>…qrqvrwrvtr6ˆ†x+s‡rr…‡rvy‡r…qr rypur“ˆ…6ˆ†+iˆtvu…r…tr†r‡“yvpu+ir…‡…htrr6ˆsthir‚‡rqvt†vq) h av‰vytr…vpu‡rvsh€vyvr…rpu‡yvpurT‡…rv‡vtxrv‡r†‚sr…qvrC>ur‰‚Wr…†v pur…ˆt†yrv†‡ˆtr†‡…rv‡vtv†‡0 i T‡…hstr…vpu‡rˆqV‡r…†ˆpuˆt†iru>…qr†‚sr…qvr6ˆ†xˆs‡“ˆ…6ixy6…ˆtrvr† Wr…i…rpur†‚qr… Wr…trur†ir>‡vt‡v…q

6…‡( TpuFB)

7ru>…qr†vqv€tyrvpurV€shthˆ†xˆs‡†ƒsyvpu‡vtvrqr…Tpuˆyqr…

5. Tätigkeitsbericht 1997/1998 des EDSB 105

6 6GGB@H@DI@7@H@SFVIB@I6VT96U@IT8CVUaS@8CUGD8C@STD8CU

1. Formelles

Grundsätzlich gelten für kantonale Behörden kantonale Datenschutzbestimmungen. Damit das Niveau des Datenschutzes auf allen Ebenen gewährleistet ist, haben die kantonalen Da- tenschutzbestimmungen einen mit dem Bundesgesetz über den Datenschutz (DSG, SR 235.1) in der Schutzwirkung vergleichbaren Mindeststandard aufzuweisen (Rudin, in Mau- rer/Vogt [Hrsg.], Kommentar zum Schweizerischen Datenschutzgesetz, Basel 1995, zu Art. 37 N 15, 23). Soweit das Bundesrecht bereichsspezifische Datenschutzbestimmungen enthält, ist der Raum für die Anwendung kantonalen Datenschutzrechts beschränkt oder sogar ine- xistent. Sofern keine kantonalen Datenschutzbestimmungen erlassen wurden, gelten für das Bearbeiten von Personendaten durch kantonale Organe beim Vollzug von Bundesrecht die Art. 1-11, 16-23 und 25 Absätze 1-3 DSG (vgl. Art. 37 Abs. 1 DSG). Die vorliegende Angele- genheit wird nur unter dem Blickwinkel des Bundesgesetzes über den Datenschutz geprüft.

2. Besonders schützenswerte Personendaten und Persönlichkeitsprofile

Die im Rahmen der Ausführung der Arbeitslosenversicherung bearbeiteten Personendaten (vgl. dazu Art. 5 der Verordnung über die Informations- und Auszahlungssysteme der Arbeits- losenversicherung, InfV, SR 837.063.1) beziehen sich auf Sachverhalte im Bereich der Ar- beitslosenversicherung und damit der sozialen Hilfe. Als solche stellen sie besonders schüt- zenswerte Personendaten und - in der Regel - Persönlichkeitsprofile im Sinne von Art. 3 lit. p Ziff. 3 und q DSG dar.

3. Das Zweckbindungsgebot und das Verhältnismässigkeitsprinzip

Art. 4 Abs. 3 DSG sieht vor, dass Personendaten nur zu dem Zweck bearbeitet werden dür- fen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetz- lich vorgesehen ist. Auch im Sozialversicherungsrecht des Bundes besteht im allgemeinen der Grundsatz, dass die Daten nicht zu einem anderen Zweck verwendet werden sollen, als sie erhoben worden sind. Der sachliche Grund besteht darin, dass es sich um Daten aus einem sensiblen Lebensbereich der betroffenen Personen handelt (Verwaltungspraxis des Bundes, VPB 54 N 16, S. 83).

Zweck der Arbeitslosenversicherungsgesetzgebung ist die Gewährleistung eines angemesse- nen Ersatzes für Erwerbsausfälle der versicherten Personen sowie die Schaffung von ar- beitsmarktlichen Massnahmen zur Verhütung drohender Arbeitslosigkeit sowie zur Bekämp- fung bestehender Arbeitslosigkeit (Art. 1 AVIG). Art. 1 InfV präzisiert diese allgemeine Zweck- verfolgung in Bezug auf die eingesetzten Bearbeitungssysteme.

Aufgrund der Sensibilität der Arbeitslosendaten hat sich deren Bekanntgabe unter den Voll- zugsbehörden auf das unbedingt Notwendige zu beschränken (Verhältnismässigkeitsprinzip, vgl. Art. 96 Abs. 4 AVIG).

4. Die Bekanntgabe von besonders schützenswerten Personendaten und Persönlich- keitsprofilen

Für die Bekanntgabe von besonders schützenswerten Personendaten und Persönlichkeitspro- filen werden besondere Erfordernisse an die gesetzliche Grundlage verlangt (Art. 17 und 19 DSG). Nach diesen Bestimmungen dürfen Bundesorgane besonders schützenswerte Personendaten und Persönlichkeitsprofile nur dann bekanntgeben, wenn ein formelles Gesetz es ausdrück- lich vorsieht oder wenn ausnahmsweise die Bekanntgabe für eine in einem formellen Gesetz klar umschriebene Aufgabe unentbehrlich ist.

5. Tätigkeitsbericht 1997/1998 des EDSB 106

Normstufe und Bestimmtheit der gesetzlichen Grundlage hängen nämlich davon ab, ob und wie weit mit einer Datenbearbeitung in die Freiheitsrechte der Bürger eingegriffen wird (BBl 1988 II 413). Die Norm muss insbesondere den Zweck und den Umfang der Bearbeitung prä- zisieren, indem z. B. die Kategorien der bearbeiteten besonders schützenswerten Personen- daten bestimmt oder die Zugriffe definiert werden (vgl. dazu Walter, in Kommentar zum Schweizerischen Datenschutzgesetz, a. a. O. zu Art. 17 N 17).

Eine generelle Norm, die lediglich vorsieht, dass im Rahmen eines bestimmten Gesetzes be- sonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet und bekannt- gegeben werden können, genügt den Anforderungen an die Normdichte nicht (Walter, in Kommentar zum Schweizerischen Datenschutzgesetz, a. a. O., zu Art. 17 N 17).

Die Bekanntgabe ist jedoch abzulehnen, einzuschränken oder mit Auflagen zu verbinden, wenn gesetzliche Geheimhaltungspflichten oder besondere Datenschutzvorschriften es ver- langen (Art. 19 Abs. 4 lit. b DSG). Durch diesen Vorbehalt ruft das DSG die Anwendbarkeit der allgemeinen und besonderen Bestimmungen, welche die Bekanntgabe von Daten be- schränken, in Erinnerung. Das DSG entbindet somit vom Amtsgeheimnis oder anderen spe- ziellen Geheimhaltungspflichten nicht. Desgleichen stellt das DSG die bereichsspezifischen Bestimmungen, welche einschränkendere Bedingungen für die Bekanntgabe der Daten vor- sehen, insbesondere bezüglich des Empfängerkreises, nicht in Frage (Walter, in Kommentar zum Schweizerischen Datenschutzgesetz, a. a. O., zu Art. 19 N 37).

7 9D@T8CX@DB@QAGD8CUDH6WDB

Wegen der besonderen Natur des Sozialversicherungsrechtes mit seinen vielfältigen Berüh- rungspunkten zu empfindlichen Lebensbereichen gilt allgemein der Grundsatz der Geheimhal- tung. Dieser Grundsatz wurde vom Gesetzgeber in Art. 97 Abs. 1 AVIG als Fundament der Bekanntgaberegelung in der Arbeitslosenversicherung vorgesehen. Aufgrund dieser Bestimmung sind die zuständigen Behörden der Arbeitslosenversicherung - wegen der erhöhten Schutzwürdigkeit der Arbeitslosendaten - gegenüber Dritten grundsätz- lich nicht auskunftspflichtig. Für diese Behörden gilt eine allgemeine und umfassende Schweigepflicht, deren Missbrauch Straffolgen nach sich zieht (Art. 105 Abs. 4 AVIG).

8 9D@6VTI6CH@IWPI9@ST8CX@DB@QAGD8CUB@H˜TT6WDW

Der Bundesrat hat von seiner ihm in Art. 97 Abs. 2 AVIG erteilten Kompetenz, Ausnahmen von der Schweigepflicht zu gestatten, Gebrauch gemacht und einen Katalog von Ausnahme- tatbeständen in Art. 125 AVIV erlassen. Art. 125 Abs. 2 AVIV regelt jene Fälle, in denen Aus- künfte und Unterlagen gegenüber den zuständigen Stellen der anderen Sozialversi- cherungszweige sowie den Führungsbehörden erteilt werden, ohne dass die Einwilligung der betroffenen Personen erforderlich ist. Anderen Organen des Bundes, der Kantone und Ge- meinden sowie Privaten dürfen hingegen Auskünfte über Versicherte nur mit deren Einver- ständnis erteilt werden (Art. 125 Abs. 3 AVIV). Dieser Norm kommt subsidiärer Charakter ge- genüber der direkten Auskunftserteilung durch den Versicherten an diese Behörden zu. Falls kein Einverständnis eingeholt wird, dürfen Arbeitslosendaten ausnahmsweise für be- stimmte Angelegenheiten (familienrechtliche Streitigkeiten, Strafverfahren) und unter be- stimmten Voraussetzungen (kein überwiegendes, entgegenstehendes privates oder öffentli- ches Interesse, Notwendigkeit der Daten für die Erfüllung von gesetzlichen Aufgaben, usw.) Zivil- und Strafgerichten amtshilfeweise erteilt werden.

5. Tätigkeitsbericht 1997/1998 des EDSB 107

9 9D@7@F6IIUB67@QAGD8CUI68C6SU( 67T$T8CFB

Gemäss Bericht der Expertenkommission vom Dezember 1981 für die Gesamtüberprüfung eines Vorentwurfes des SchKG wurde die Bekanntgabepflicht v. a. für die Steuerbehörden konzipiert. Gemäss den Ergebnissen des Vernehmlassungsverfahrens über den Vorentwurf zu einer Teilrevision des SchKG von April 1984 wäre die Bekanntgabepflicht und der Be- kanntgabeumfang zu konkretisieren gewesen (vgl. auch BBl 1991 III S. 75). Insbesondere wurde gerügt, dass eine solche vorbehaltlose Datenbekanntgabe wegen der sowohl im Bun- des- als auch im kantonalen Recht statuierten Schweigepflicht (insbesondere im Steuerrecht) in der Praxis auf namhafte Schwierigkeiten stossen würde.

Laut Bericht der Kommission des Nationalrates vom 11./12. November 1991 wurde die neue Bekanntgabepflicht kontrovers aufgenommen.

Im übrigen wurde die Sektion Datenschutz vom Bundesamt für Justiz (BJ) 1990 lediglich zu Art. 8 und 8a SchKG konsultiert. Der ganze Entwurf zum SchKG wurde weder der damaligen Sektion Datenschutz des BJ noch dem später eingesetzten Eidg. Datenschutzbeauftragten unterbreitet.

@ X5S9DBVIB

Die abschliessende Datenbekanntgaberegelung in der Arbeitslosenversicherungsgesetzge- bung

Art. 97 Abs. 1 AVIG enthält eine grundsätzliche Schweigepflicht, wonach Personen, die mit der Durchführung, der Beaufsichtigung und der Kontrolle betraut sind, über ihre Wahrneh- mungen Verschwiegenheit zu bewahren haben. Diese Schweigepflicht ist aufgrund der Sensi- bilität der Arbeitslosendaten strikte einzuhalten. Ausnahmen von der Schweigepflicht bedürfen einer ausdrücklichen Regelung in einem formellen Gesetz (Art. 17 und 19 DSG). Dies gilt um so mehr, als die Datenbekanntgabe von besonders schützenswerten Personen- daten und Persönlichkeitsprofilen eine Abweichung vom ursprünglichen Bearbeitungszweck zur Folge hat.

Art. 125 Abs. 1 und 2 AVIV zählt die zulässigen Ausnahmen von der Schweigepflicht auf. Die- se Aufzählung ist abschliessend (VPB 55 N 21 S. 205). Nach Art. 125 Abs. 3 AVIV dürfen anderen Organen des Bundes, der Kantone und Gemeinden sowie Privaten Auskünfte über Versicherte nur mit deren Einverständnis erteilt werden. In Anbetracht der klaren und eindeu- tigen Formulierung fällt eine weite Auslegung von Art. 125 Abs. 3 AVIV ausser Betracht. Hätte man eine Bekanntgabepflicht an Betreibungsbehörden statuieren wollen, so hätte man dies ausdrücklich sagen sollen (vgl. VPB 54 N 16, insb. S. 83). So wurde z. B. die Ausnahme von der Schweigepflicht für AHV-Behörden gegenüber Steuerbehörden ausdrücklich auf for- meller Gesetzesstufe geregelt (vgl. Art. 50 Abs. 1iv† des Bundesgesetzes über die Alters- und Hinterlassenenversicherung (AHVG, SR 831.10).

Sowohl aufgrund der Schweigepflicht von Art. 97 Abs. 1 AVIG als auch der abschliessenden Bekanntgaberegelung von Art. 125 AVIV ist somit eine Bekanntgabe von Arbeitslosendaten an Betreibungsbehörden ausgeschlossen. Vorbehalten bleibt Art. 19 Abs. 1 lit. d DSG. Da- nach können Bundesorgane Personendaten bekanntgeben, wenn der Empfänger glaubhaft macht, dass die betroffene Person die Einwilligung verweigert oder die Bekanntgabe sperrt, um ihm die Durchsetzung von Rechtsansprüchen oder die Wahrnehmung anderer schutzwür- diger Interessen zu verwehren; der betroffenen Person ist vorher wenn möglich Gelegenheit zur Stellungnahme zu geben.

Die Datenbekanntgabe an Betreibungsbehörden, insbesondere an für betreibungsrechtliche Streitigkeiten zuständige Zivilrichter, kann auch nicht aus dem kantonalen Verfahrensrecht

5. Tätigkeitsbericht 1997/1998 des EDSB 108

abgeleitet werden, da die sozialrechtliche Schweigepflicht von Art. 97 Abs. 1 AVIG eine bun- desrechtliche Bestimmung ist.

Die Bekanntgaberegelung gemäss Art. 91 Abs. 5 SchKG

Art. 91 Abs. 5 SchKG ist eine generelle Norm, welche den vom Datenschutzrecht bei der Be- kanntgabe von besonders schützenswerten Personendaten und Persönlichkeitsprofilen ge- stellten Anforderungen an die Normdichte nicht genügt. Eine Präzisierung der geforderten Bekanntgaberegelung wurde indes nicht mehr vorgenommen, obwohl die Datenbearbeitung im Rahmen der Privatrechtsregister meist nach detaillierten und formellen Vorschriften abläuft (BBl 88 II S. 444).

A aVT6HH@IA6TTVIB

Der Geheimhaltungspflicht, dem sozialversicherungs- und datenschutzrechtlichen Zweckbin- dungsgrundsatz sowie der daraus resultierenden, abschliessenden Bekanntgaberegelung von Art. 125 AVIV ist grösste Bedeutung beizumessen (vgl. Rudin/Lang in „Mitteilungen der kan- tonalen Aufsichtsstelle Datenschutz Basellandschaft“, Nr. 15, 1997). Demzufolge ist die Be- kanntgaberegelung in der Arbeitslosenversicherungsgesetzgebung gegenüber der allgemei- nen, nicht näher präzisierten und entstehungsgeschichtlich umstrittenen Bekanntgaberege- lung von Art. 91 Abs. 5 SchKG als yr‘†ƒrpvhyv† zu betrachten (vgl. Ergebnisse des Vernehm- lassungsverfahrens über den Vorentwurf zu einer Teilrevision des Bundesgesetzes über Schuldbetreibung und Konkurs, Bern, April 1984, S. 336 ff). Nach dieser Kollisionsregel geht das spezielle Recht (lex specialis) dem allgemeinen Gesetz vor (Häfelin/Müller, in Grundriss des allgemeinen Verwaltungsrechts, Zürich 1993, N 179). Soll die Bekanntgabe von Arbeitslo- sendaten an Betreibungsbehörden ohne Einwilligung der Versicherten künftig möglich sein, so muss dies im AVIG ausdrücklich vorgesehen werden. Auch Art. 91 Abs. 5 SchKG als yr‘tr r…hyv† bedarf einer entsprechenden Präzisierung. Die Bekanntgabe der Arbeitslosendaten ist

• abgesehen von der Regelung der Schweigepflicht im AVIG - heutzutage lediglich auf Stufe Verordnung (AVIV) verankert. Dies ist nicht zuletzt darauf zurückzuführen, dass die an die Normstufe gesetzten, höheren Anforderungen erst im chronologisch jüngeren DSG ausdrück- lich festgehalten wurden.

5. Tätigkeitsbericht 1997/1998 des EDSB 109

% @HQA@CGVIB@I9@T@9T7

6.1. Empfehlung in Sachen Personalinformationssystem PISEDI

Bern, 16. Mai 1997

@HQA@CGVIB

tr€††

6…‡!&qr†7ˆqr†tr†r‡“r†Bir…qr9h‡r†puˆ‡“‰‚€ (Eˆv ((!9TB

vThpur

Qr…†‚hyvs‚…€h‡v‚††’†‡r€QDT@9D

D 9r…@vqtr††v†pur9h‡r†puˆ‡“irhˆs‡…ht‡r†‡ryy‡sr†‡)

1. Das Generalsekretariat des Eidg. Departements des Inneren (GS/EDI) stellte an der Informatik-Konferenz des Bundes (IKB) vom 18. Dezember 96 das Per- sonalinformationssystem PISEDI, mit welchem besonders schützenswerte Per- sonendaten bzw. Persönlichkeitsprofile bearbeitet werden, als mögliche Über- gangslösung für das in der Bundesverwaltung gestoppte Projekt bzw. System BV-PLUS vor. Das GS/EDI hielt dabei fest, dass der Eidg. Datenschutzbe- auftragte vom Projekt Kenntnis habe und dass das System PISEDI als daten- schutzkonform betrachtet werden könne.

2. Die darauffolgende Durchsicht des PISEDI-Dossiers beim EDSB zeigte auf, dass Fragen zum Datenschutz namentlich betreffend der Datenfelder Wehr- dienstdaten, Laufbahnplanung als auch der Zugriffsmatrix bis heute nicht be- antwortet wurden. Im weiteren finden sich im Dossier keine Hinweise auf ein für das oben aufgeführte System notwendigerweise zu erstellendes Bearbeitungs- reglement.

3. Am 15. Januar 1997 erfolgte eine Demonstration des Personalinformationssys- tems PISEDI namentlich für Vertreter von Personalabteilungen und Informatiker in der Bundesverwaltung. Dabei wurde erwähnt, dass das System den Daten- schutzanforderungen genüge.

4. Entgegen der mit Protokollnachtrag vom 19. März 1997 festgehaltenen Auffas- sung des EDSB wurde das PISEDI seitens des EDI als datenschutzkonform eingestuft und zur Übernahme für weitere Organisationseinheiten an der IKB empfohlen.

5. Aufgrund der geschilderten Umstände sah sich der EDSB veranlasst, das GS/EDI als auch diejenigen Departemente, die Interesse am PISEDI-System bekundeten, über den ungenügend ausgewiesenen Datenschutz zu informie- ren In den Schreiben des EDSB vom 19. März 1997 wurde insbesondere fest-

6. Tätigkeitsbericht 1997/1998 des EDSB 110

gehalten, dass das System den Anforderungen des Datenschutzes nicht ge- nüge und dass vor einem allfälligen Entscheid für das System PISEDI mit dem EDSB Kontakt aufgenommen werden soll. Im weiteren wurde darauf hingewie- sen, dass vor der Inbetriebnahme eines Personalinformationssystems ein Bear- beitungsreglement zu erstellen sei. Weil das PISEDI u. a. im GS/EDI bereits in Betrieb ist, verlangten wir von dieser Organisationseinheit die Zustellung des Bearbeitungsreglements. Das verlangte Reglement wurde uns aber nicht zuge- stellt.

DD 9r…@vqtr††v†pur9h‡r†puˆ‡“irhˆs‡…ht‡r“vru‡v@…tˆt)

1. Gemäss Art. 27 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1) überwacht der EDSB die Einhaltung dieses Gesetzes. Stellt er fest, dass Datenschutzvorschriften verletzt werden, so empfiehlt der Beauf- tragte dem verantwortlichen Bundesorgan, das Bearbeiten zu ändern oder zu unterlassen.

2. Die neuste Fassung des PISEDI, wie sie an der IKB als mögliche Übergangslö- sung angeboten wurde, ist bis heute dem EDSB gemäss Art. 31 Abs. 1 lit. b DSG und Art. 20 Abs. 2 der Verordnung zum Bundesgesetz über den Daten- schutz (VDSG; SR 235.11) nicht unterbreitet worden.

3. Aufgrund von Art. 21 der VDSG ist u. a. bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen ein Bearbeitungs- reglement zu erstellen, in welchem auch die rechtskonformen Datensicher- heitsmassnahmen aufzuführen sind. Für das System PISEDI wurde bis zum heutigen Zeitpunkt kein Bearbeitungsreglement erstellt. Aufgrund des Fehlens dieses Reglements ist die Nachvollziehbarkeit und die Transparenz der Sy- stemgestaltung und die Datensicherheit nicht gegeben. Aufgrund der mangeln- den Transparenz ist auch eine Systemkontrolle kaum oder nur mit enormem Mehraufwand möglich.

4. Die notwendigen Rechtsgrundlagen für das (die) vorliegende(n) Personalinfor- mationssystem(e) in der Bundesverwaltung werden im Zusammenhang mit der Revision des Beamtengesetzes ausgearbeitet.

DDD 6ˆst…ˆqqr…‚ivtr@…tˆtrr€ƒsvruy‡qr…@vqtr††v†pur9h‡r †puˆ‡“irhˆs‡…ht‡r)

Aufgrund der obigen Erwägungen †‡ryy‡qr…@vqt9h‡r†puˆ‡“irhˆs‡…ht‡rsr†‡, dass der Einsatz des genannten EDV-Systems PISEDI in der Bundesverwaltung ohne Datenschutz- und Datensicherheitsmassnahmen gemäss Art. 7 DSG i. V. m. Art. 21 VDSG bundesdatenschutzrechtswidrig wäre, und er gelangt zu folgender @€ƒsru yˆt)

1. Das GS/EDI beantwortet dem EDSB innert 30 Tagen nach Empfang dieser Empfehlung dessen Schreiben an das GS/EDI vom 26. Januar 1995.

2. Tätigkeitsbericht 1997/1998 des EDSB 111

3. Das GS/EDI unterbreitet dem EDSB innert 30 Tagen nach Empfang dieser Empfehlung ein vollständiges Bearbeitungsreglement im Sinne von Art. 21 VDSG zum System PISEDI. Dieses Reglement beinhaltet insbesondere die Dokumentation über die Organisation, die Projektdokumentation, die Datensi- cherheitsmassnahmen sowie die Kontrollverfahren.

4. Das GS/EDI orientiert diejenigen Bundesorgane in schriftlicher Form, denen es das EDV-System PISEDI angeboten hat, dass diese das PISEDI ohne Daten- schutz- und Datensicherheitsmassnahmen im Sinne von Art. 21 VDSG und der Empfehlung gemäss Ziff. 1 und 2 hievor nicht verwenden dürfen. Es macht sie insbesondere darauf aufmerksam , dass sie ein Bearbeitungsreglement zu erstellen und gemäss Art. 31 DSG dem EDSB zu unterbreiten haben. Es lässt dem EDSB je eine Kopie dieser Schreiben zukommen.

Das Generalsekretariat des EDI benachrichtigt den Eidgenössischen Datenschutzbe- auftragten innerhalb von 30 Tagen, ob es die Empfehlung annimmt oder ablehnt.

Diese Empfehlung wird mitgeteilt:

• dem Generalsekretariat des Eidg. Departement des Innern, 3003 Bern
• dem Vorsitzenden der Informatik-Konferenz der Bundesverwaltung (IKB), Bun- desamt für Informatik, 3003 Bern

@D9B@IETTDT8C@S 96U@IT8CVUa7@6VAUS6BU@S

O. Guntern

5. Tätigkeitsbericht 1997/1998 des EDSB 112

6.2. Empfehlung in Sachen Abrufbarkeit von Arbeitslosendaten des AVAM-Systems des BIGA im Internet

Bern, den 26. September 1997

@HQA@CGVIB

tr€††

6…‡!&qr†7ˆqr†tr†r‡“r†Bir…qr9h‡r†puˆ‡“‰‚€ (Eˆv ((!9TB

vThpur

6i…ˆsih…xrv‡‰‚6…irv‡†y‚†rqh‡rqr†6W6HT’†‡r€†qr†7DB6v€D‡r…r‡

D 9r…@vqtr††v†pur9h‡r†puˆ‡“irhˆs‡…ht‡r†‡ryy‡sr†‡)

1. Der lediglich für die privaten Stellenvermittler vorgesehene Online-Zugriff auf Arbeitslosendaten war bis zum 26. September 1997 allgemein und weltweit via World Wide Web (WWW) im Internet zugänglich. Es handelt sich um Daten des Systems AVAM des Bundesamtes für Industrie, Gewerbe und Arbeit (BIGA). Der Zugang zu Arbeitslosendaten wird durch die WWW-Adresse http://www.admin.ch/avamsts ermöglicht. Nach telephonischer Orientierung des systemverantwortlichen Bundesorgans wurde der Zugriffsschutz wieder instal- liert.

2. Der Benutzer kann zwischen «Profile von Stellensuchenden sichten» und «Stichwortsuche nach Profilen» wählen. Wird die erste Möglichkeit angewählt, kann unter einer Liste von Berufsgruppen gewählt werden. Danach wird eine verfeinerte Auswahl von Berufen angezeigt, wobei nach Kantonen gegliedert, weiter gesucht werden kann. Die zweite Möglichkeit, die Stichwortsuche, führt auf eine Suchmaske, auf welcher ein beliebiger Suchbegriff eingegeben wer- den kann. Die Suche kann über einen bestimmten Kanton oder über alle Kan- tone geführt werden. Beide Abfragemöglichkeiten funktionieren ohne die vorge- sehen Eingaben einer Benutzeridentifikation (User-ID) und Passwort.

3. Neben den fixen Datenfeldern gemäss AVAM-Verordnung sind in einem Frei- text weitere, zum Teil besonders schützenswerte Daten enthalten. Teilweise fi- guriert dort der Name und Vorname der arbeitslosen Person sowie deren AHV- Nummer. Bei gewissen Persönlichkeitsprofilen sind Angaben über strafrechtli- che Verfolgungen und Sanktionen («war ca. 3 Jahre im Gefängnis, Strafanstalt Hinwil»), über die Gesundheit («Leidet an chronischen Kopfschmerzen»; «in psychiatrischer Klinik Meiringen» «betreut 3 Kinder» und «schwer depressiven Ehemann») aber auch weitere Informationen wie «Kündigungsgrund» oder «Ev. überprüfen wegen Missbrauch» einsehbar.

4. Tätigkeitsbericht 1997/1998 des EDSB 113

DD 9r…@vqtr††v†pur9h‡r†puˆ‡“irhˆs‡…ht‡r“vru‡v@…tˆt)

1. Durch die Abrufbarkeit von Personendaten des Informationssystems für die Arbeitsvermittlung und Arbeitsmarktstatistik (AVAM) im Internet findet eine Be- arbeitung von Personendaten im Sinne des Bundesgesetzes über den Daten- schutz (DSG, SR 235. 1) statt, weshalb dieses zur Anwendung gelangt. Grund- lage für die Beurteilung der Angelegenheit bilden neben dem DSG auch die Verordnung über das Informationssystem für die Arbeitsvermittlung und Ar- beitsmarktstatistik (V-AVAM, SR 823.114) und die Vereinbarung vom 15. Janu- ar 1997 (in der Folge Vereinbarung) zwischen der Schweiz. Eidgenossenschaft, vertreten durch das BIGA, und dem Schweiz. Verband der Unternehmungen für Temporärarbeit und private Stellenvermittlung (SVUTA) sowie dem Verband der Personalberatungsunternehmen der Schweiz (VPS).

2. Gemäss Art. 27 Abs. 1 DSG überwacht der Eidg. Datenschutzbeauftragte die Einhaltung des DSG sowie der übrigen Datenschutzvorschriften des Bundes durch die Bundesorgane. Er klärt von sich aus oder auf Meldung Dritter den Sachverhalt näher ab (Art. 27 Abs. 2 DSG). Ergibt die Abklärung, dass Daten- schutzvorschriften verletzt werden, so empfiehlt der Beauftragte dem verant- wortlichen Bundesorgan, das Bearbeiten zu ändern oder zu unterlasssen. Er o- rientiert das zuständige Departement oder die Bundeskanzlei über seine Emp- fehlung (Art. 27 Abs. 4 DSG).

3. Gemäss Art. 5 Abs. 1 V-AVAM sind am Informationssystem AVAM angeschlos- sen:

h qh†7DB60 i qvrxh‡‚hyr6…irv‡†6€‡r…0 p qvr6…irv‡†y‚†rxh††r

Weiter dürfen am Informationssystem folgende Stellen angeschlossen werden (Art. 5 Abs. 2):

h …rtv‚hyrˆqx‚€€ˆhyr6…irv‡†6€‡r…0 i P…thrqr…D‰hyvqr‰r…†vpur…ˆt0 p P…thrqr…7r…ˆs†ir…h‡ˆt††‡ryyr0 q qvrTpurv“ar‡…hy†‡ryyrs+…Crv€h…irv‡

4. Gemäss Vereinbarung vom 15. Januar 1997 sollen den privaten Stellenvermitt- lern die anonymisierten Profile der durch die regionalen Arbeitsvermittlungsstel- len (RAV) im AVAM erfassten Stellensuchenden auf einem WWW-Server via Internet bereitgestellt werden. SVUTA und VPS besorgen gemeinsam die Ver- waltung der vom BIGA vergebenen ID-Nummern, die jeder Benutzer für den Datenzugriff benötigt. Jeder Benutzer erhält seine persönliche ID-Nummer und definiert ausgehend von einem Initialisierungspasswort sein persönliches Passwort selber.

5. Die vorgefundenen Abrufmöglichkeiten erlauben jedoch weltweite, uneinge- schränkte Einsicht in die publizierten AVAM-Daten ohne Passwort und ohne User-Identification. Dies ist um so gravierender, als die publizierten Arbeitslo- senprofile einerseits teilweise nicht anonymisiert sind, andererseits aber be-

6. Tätigkeitsbericht 1997/1998 des EDSB 114

sonders schützenswerte Personendaten im Sinne von Art. 3 lit. c DSG enthal- ten. Solche Bearbeitungsmöglichkeiten entsprechen weder der V-AVAM noch der Vereinbarung vom 15. Januar 1997, wonach AVAM-Daten nur von einem ganz bestimmten Datenempfängerkreis bearbeitet werden dürfen. Des weiteren stellen sie eine Bekanntgabe von Daten ins Ausland dar, die weder den Anfor- derungen an die gesetzliche Grundlage (Art. 19 Abs. 3 DSG) noch denjenigen von Art. 6 DSG genügt.

6. Durch die Bearbeitung von besonders schützenswerten Personendaten, die keinen Zusammenhang mit dem Zweck des Systems (insbesondere die ver- besserte Arbeitsvermittlung, Art. 1 V-AVAM) stehen, wird das Zweckbindungs- gebot verletzt, wonach Personendaten nur zu dem bei der Beschaffung ange- gebenen, aus den Umständen ersichtlichen oder gesetzlich vorgesehenen Zweck bearbeitet werden dürfen (Art. 4 Abs. 3 DSG). Daten über strafrechtliche Verfolgungen und Sanktionen, über den Gesundheitszustand, die Massnahmen der sozialen Hilfe usw. stehen in keinem Zusammenhang mit dem System- zweck. Sie sind in der AVAM-Matrix nicht vorgesehen und deshalb sowohl im AVAM-Angebot via Internet als auch im AVAM-System selber zu entfernen. Solche Datenbearbeitungen verletzen neben dem Zweckbindungsgebot auch das Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG), wonach nur die für die Erfüllung der gesetzlichen Aufgaben eines Bearbeitungssystems unbedingt be- nötigten Daten bearbeitet werden dürfen. Die Veröffentlichung der fraglichen Personendaten widerspricht den Interessen der Arbeitslosen und vereitelt den Systemzweck. Ausserdem stellen gewisse Angaben krasse Verletzungen des Bundesgesetzes über die Gleichstellung von Frau und Mann vom 1. Juli 1996 (Gleichstellungsgesetz, GlG, SR 151) dar. Zu denken ist insbesondere an die Angaben über die Schwangerschaft. Die Bekanntgabe von Personendaten an unberechtigte Dritte stellt des weiteren auch eine Verletzung des Amtsgeheim- nisses dar und ist gemäss Art. 320 des Schweiz. Strafgesetzbuches (StGB, SR

311. strafbar.

7. Subjektive Beurteilungen, wie sie in den festgestellten Persönlichkeitsprofilen vorgefunden worden sind, sind auch bezüglich der Richtigkeit (Art. 5 DSG) zu beanstanden.

8. Der Eidg. Datenschutzbeauftragte behält sich vor, weitere Massnahmen in Zu- sammenhang mit dem System AVAM zu ergreifen.

DDD 6ˆst…ˆqqvr†r…@…tˆtrr€ƒsvruy‡qr…@vqtr††v†pur9h‡r†puˆ‡“ irhˆs‡…ht‡r)

1. Das BIGA als systemverantwortliches Bundesorgan hat die Abrufbarkeit von AVAM-Daten auf Internet auf die gesetzlich zugriffsberechtigten Stellen zu be- schränken. Es sorgt für eine angemessene Datensicherheit namentlich durch Instandstellung, des User-Identification- und Passwortsystem. Es überprüft re- gelmässig die Funktionstüchtigkeit des Zugriffsschutzes.

2. Tätigkeitsbericht 1997/1998 des EDSB 115

3. Das BIGA hat die RAV anzuweisen, die Rubrik „freier Zusatztext“ (Datum 243 der AVAM-Matrix) im Internet ersatzlos zu streichen. Die Publikation der Per- sönlichkeitsprofile der Arbeitslosen im Internet hat anonym zu erfolgen.

4. Das BIGA benachrichtigt unverzüglich den Eidg. Datenschutzbeauftragten, ob es die Empfehlung ablehnt oder nicht. Wird die Empfehlung nicht befolgt oder abgelehnt, so kann der Eidg. Datenschutzbeauftragte die Angelegenheit dem Volkswirtschaftsdepartement zum Entscheid vorzulegen.

@D9B@IETTDT8C@S 96U@IT8CVUa7@6VAUS6BU@S

O. Guntern