1 13. Tätigkeitsbericht 2005/ 2006 des EDSB Eidgenössischer Datenschutzbeauftragter 13. Tätigkeitsbericht 2005/2006
Tätigkeitsbericht 2005/2006 des Eidgenössischen Datenschutzbeauftragten Der Eidg. Datenschutzbeauftragte hat dem Bundesrat periodisch einen Bericht über seine Tätigkeit vorzule- gen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2005 und 31. März 2006 ab.
4 13. Tätigkeitsbericht 2005/ 2006 des EDSB Dieser Bericht ist auch über das Internet (www.edsb.ch) abrufbar Vertrieb: BBL, Verkauf Bundespublikationen, CH-3003 Bern www.bbl.admin.ch/bundespublikationen Art.-Nr. 410.013.d/f
5 13. Tätigkeitsbericht 2005/ 2006 des EDSB
6 13. Tätigkeitsbericht 2005/ 2006 des EDSB
7 13. Tätigkeitsbericht 2005/ 2006 des EDSB
8 13. Tätigkeitsbericht 2005/ 2006 des EDSB Vorwort Höhepunkt dieses Berichtsjahrs war zweifellos die von uns organisierte 27. Internati- onale Konferenz der Beauftragten für Datenschutz und den Schutz der Privatsphäre vom 14. bis 16. September in Montreux. Über 350 Teilnehmer aus der ganzen Welt trugen zur grossen nationalen und internationalen Beachtung der äusserst gehalt- vollen Konferenz unter dem Generalthema «Ein universelles Recht auf den Schutz personenbezogener Daten und der Privatsphäre unter Beachtung der Vielfalt in einer globalisierten Welt» bei. Sie gipfelte in der Annahme einer Schlusserklärung, mit der die Universalität der Datenschutzprinzipien bekräftigt wurde. Wir sind überzeugt, dass diese Erklärung von Montreux der internationalen Verbreitung und Vertiefung des Per- sönlichkeitsschutzes einen wesentlichen Impuls geben wird. An dieser Stelle bleibt mir, allen, die zum Gelingen dieses wichtigen Anlasses beigetragen haben, herzlich zu danken, insbesondere auch der Bundeskanzlerin, die mit einem massgeblichen fi nan- ziellen Beitrag aus ihrem Budget das Vorhaben überhaupt erst ermöglichte. Daneben verabschiedete die Konferenz zwei wichtige Resolutionen. Die eine behandelt die Ver- wendung von biometrischen Daten in Pässen, Identitätskarten und Reisedokumenten, die andere befasst sich mit der Verwendung von Personendaten für die politische Kommunikation (vgl. dazu den ausführlichen Bericht, Ziffer 9.2.1). Zu den wichtigsten Themen, mit denen wir uns im vergangenen Berichtsjahr be- fassten, gehören unter anderem der vielfältige Einsatz der Biometrie (in Reisepässen, für Zugangskontrollen in Freizeitanlagen, beim Check-in im Flughafen, bei Sportver- anstaltungen, usw.), der Einsatz von Drohnen (für Grenzüberwachung und anderes), die Änderung des Bundesgesetzes über die Massnahmen zur Wahrung der inneren Sicherheit, die Gesundheitskarte und weitere Themen aus dem Gesundheitsbereich. Der Rückblick auf das letzte Berichtsjahr zeigt vor allem, dass wir die Aufsichtsaufgabe, wie im Rahmen der Reorganisation des Dienstes vorgesehen, verstärken konnten. Davon zeugen zahlreiche abgeschlossene Projekte wie z.B. die Kontrolle des Einsatzes der Biometrie beim Check-in im Flughafen Zürich, der Cumulus- und Supercard-Pro- gramme, von medizinischer Forschung und Biobanken, Kreditkarten usw. Positiv be- urteilen wir, dass die Verantwortlichen der ausgewählten Aufsichtsbereiche unse- re Überprüfungen stets sehr konstruktiv begleitet haben, sie als Chance für eine Verbesserung des Persönlichkeitsschutzes erachteten und unsere Empfehlungen in der Folge auch umsetzten – wohl in der Erkenntnis, dass ein glaubwürdiger Daten- schutz das beste Kundenbindungsprogramm darstellt. Die rasante technische Ent- wicklung, die laufend neue Gefährdungspotentiale schafft, wird uns auch in Zukunft
9 13. Tätigkeitsbericht 2005/ 2006 des EDSB eine intensive Aufsichtstätigkeit abverlangen, um den negativen Aspekten für den Schutz der Privatsphäre rechtzeitig begegnen zu können. Gleichzeitig müssen wir aber darauf hinweisen, dass gerade seriös durchgeführte Aufsichtsprojekte im Interesse ihrer Glaubwürdigkeit ausserordentlich zeitintensiv sind und beachtliche personelle Ressourcen binden. Bereits heute ist es uns deshalb unmöglich, in allen relevanten Bereichen unsere Aufsichtsaufgabe wahrzunehmen. Dies umso mehr, als auch unsere übrigen Aufgaben, namentlich die Beratung von Bürgern und der Verwaltung, ständig zunehmen. Schon heute sind wir nicht in der Lage, alle Anfragen zu behandeln, die uns erreichen. Die Aufsichtstätigkeit bleibt also sehr begrenzt und die Beratung wird immer kürzer. Dazu kommt die technische Entwicklung, welche die Aufgaben des Da- tenschutzes immer aufwändiger macht. So treibt auch die Verwaltung beispielsweise mit E-Health, E-Government, dem PIN Projekte voran, die uns viel Arbeit bescheren. Deshalb sind wir zunehmend gezwungen, dringende Projekte im Bereich der Bera- tung und der Aufsicht/Kontrolle aufzuschieben oder ganz auf sie zu verzichten. Wollen wir in diesem Feld eine halbwegs glaubwürdige Tätigkeit aufrechterhalten, dürfen wir jedoch bezüglich der Zahl der jährlich durchzuführenden Projekte keine weiteren Ab- striche mehr hinnehmen. Sorgen bereitet mir deshalb die Tatsache, dass der nach wie vor knappe und im inter- nationalen Vergleich ausserordentlich bescheidene Stellenetat unserer Datenschutz- behörde wegen der Sparmassnahmen weiter unter Druck steht. Dabei werden uns laufend neue grosse Aufgaben zugemutet: Das demnächst in Kraft tretende Öffentlichkeitsgesetz auferlegt uns in strittigen Fällen die Durchführung von Mediationsverfahren zwischen Bürgern und Verwaltung. Auch wird von uns erwartet, dass wir als Kompetenzzentrum die Betroffenen in der Handhabung des Gesetzes informieren und beraten. Gleichzeitig ist absehbar, dass mit den bilateralen Verträgen und der Zustimmung zu den Abkommen von Schengen/Dublin neue heikle und zeitin- tensive Aufsichtsaufgaben auf uns zukommen werden. Bei diesen beiden Abkommen, die gerade auch wegen der möglichen Gefährdung der Privatsphäre unserer Bürge- rinnen und Bürger in der Öffentlichkeit sehr kontrovers diskutiert wurden, haben wir stets darauf hingewiesen, dass wir die datenschutzrechtliche Unbedenklichkeit nur solange deklarieren können, als wir auch von den personellen Ressourcen her dazu in die Lage versetzt werden. Nach dem heutigen Stand der Diskussion ist dies noch nicht gegeben: Weder für das Öffentlichkeitsgesetz noch für die neuen Aufsichtsaufgaben betreffend Schengen/Dublin sind uns die zusätzlichen Stellen bis heute bewilligt wor- den. Stattdessen haben wir bis Ende 2006 unseren Stellenetat von 19.6 auf 19 Stellen weiter zu reduzieren.
10 13. Tätigkeitsbericht 2005/ 2006 des EDSB Das laufende Berichtsjahr wird somit darüber entscheiden, ob in der Schweiz auch in Zukunft ein glaubwürdiger Persönlichkeitsschutz realisiert werden kann. Ich werde mich mit aller Kraft dafür einsetzen und nicht davor zurückschrecken, der Öffentlich- keit die Konsequenzen undifferenzierter Sparübungen im Bereiche des Datenschutzes zu erläutern. Hanspeter Thür
11 13. Tätigkeitsbericht 2005/ 2006 des EDSB Abkürzungsverzeichnis AHVG Bundesgesetz über die Alters- und Hinterlassenenversicherung BAP Bundesamt für Polizei BAG Bundesamt für Gesundheit BASPO Bundesamt für Sport BFS Bundesamt für Statistik BIT Bundesamt für Informatik und Telekommunikation BJ Bundesamt für Justiz BÜG Bundesgesetz über Erwerb und Verlust des Schweizer Bürgerrechts BWIS Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit DAP Dienst für Analyse und Prävention DSG Bundesgesetz über den Datenschutz EDI Eidgenössisches Departement des Innern EDSB Eidgenössischer Datenschutzbeauftragter EDSK Eidgenössische Datenschutzkommission EGBA Eidgenössisches Amt für Grundbuch- und Bodenrecht EJPD Eidgenössisches Justiz- und Polizeidepartement GUMG Bundesgesetz über genetische Untersuchungen beim Menschen ICAO Internationale Zivilluftfahrt-Organisation ISA Informationssystem Ausweisschriften KVG Bundesgesetz über die Krankenversicherung METAS Bundesamt für Metrologie und Akkreditierung RFID Radio Frequency Identifi cation SAMW Schweizerische Akademie der Medizinischen Wissenschaften
12 13. Tätigkeitsbericht 2005/ 2006 des EDSB SAS Schweizerische Akkreditierungsstelle SCHKG Bundesgesetz über Schuldbetreibung und Konkurs SGK-NR Kommission für soziale Sicherheit und Gesundheit SHAB Schweizerisches Handelsblatt SIS Schengener Informationssystem SPK-SR Staatspolitische Kommission des Ständerates StGB Strafgesetzbuch VBS Departement für Verteidigung, Bevölkerungsschutz und Sport VMBDD Verordnung über die medizinische Beurteilung der Dienst- tauglichkeit und Dienstfähigkeit ZentG Bundesgesetz über die kriminalpolizeilichen Zentralstellen des Bundes
13 13. Tätigkeitsbericht 2005/ 2006 des EDSB 1 Grundrechte 1.1 Modernisierung des Datenschutzes 1.1.1 Zertifi zierungsverfahren im Rahmen der Revision des Bundesgesetzes über den Datenschutz In Rahmen der Revision zum DSG ist ein freiwilliges Datenschutz-Zer- tifi zierungsverfahren vorgesehen. Betreffend die Zertifi zierung von Organisationen soll Zertifi zierungsfi rmen ein Referenzmodell in zwei Teilen zur Beurteilung vorgelegt werden. Der erste Teil betrifft die von einem Datenschutzmanagementsystem zu erfüllenden Anforderungen, während sich der zweite Teil auf ein Konformitätsprüfungsschema, das heisst auf die aus dem DSG abgeleiteten konkreten Datenschutzerfor- dernisse, konzentriert. Im Rahmen der Revision des DSG haben wir unsere Zusammenarbeit mit dem BJ und der SAS/Metas fortgeführt (vgl. unseren 12. Tätigkeitsbericht 2004/2005, Ziffer 1.1.2). Dabei ging es uns darum, die Mindestanforderungen betreffend die Erlangung einer Datenschutzzertifi zierung für eine Organisation oder ein Datenbearbeitungsverfahren zu defi nieren. Wir haben uns in diesem Zusammenhang um eine genauere Umschrei- bung eines Referenzmodells bemüht, anhand dessen es möglich sein soll, – einerseits – die Existenz und die konkrete Funktionsweise eines Datenschutzmanagementsy- stems (DMS) in der kontrollierten O rganisation nachzuprüfen und sich – anderer- seits – zu vergewissern, dass das Datenschutzniveau im Zeitpunkt des Audits den geltenden gesetzlichen Erfordernissen entspricht. Zu diesem Zweck schien es uns sinnvoll, das Referenzmodell in zwei unterschiedliche Teile zu trennen: der erste Teil betrifft dabei das DMS, der zweite die Ausgestaltung der Datenschutzanforderungen. Für die Umschreibung der Erfordernisse eines DMS liessen wir uns von den im neu- en Standard ISO/IEC 27001:2005 (vormals BS 7799-2:2002) enthaltenen Bedingungen für die Informationssicherheits-Managementsysteme (ISMS) leiten. Art. 7 Abs. 1 DSG (Datensicherheit) schreibt in dieser Hinsicht vor, dass Personendaten durch angemes- sene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden müssen. Es ist daran zu erinnern, dass der Audit-Standard ISO/IEC 27001:2005 vollständig auf dem Standard ISO/IEC 17799:2005 beruht, der insgesamt 15 Kapitel und 134 Kontrollen umfasst, unter denen 15.1.4 spezifi sch die Konformität der Bearbeitungen von Personendaten betrifft. Diese letztere Kontrolle wurde im Lich- te des DSG konkretisiert und bildet den zweiten Teil des Referenzmodells, den wir als «Konformitätsprüfungsschema» bezeichnen.
14 13. Tätigkeitsbericht 2005/ 2006 des EDSB Die Arbeitshypothese lautet wie folgt: unter der Voraussetzung eines im Zeitpunkt des Audits als konform anerkannten Datenschutzniveaus und des Beitrags eines DMS, mit dessen Hilfe das Datenschutzniveau grundsätzlich bestehen bleiben (oder sogar ver- bessert werden) soll, müssten die Datenschutzanforderungen dauerhaft erfüllt wer- den. Eine Datenschutzzertifi zierung kann sodann für einen Zeitraum von mehreren Jahren ausgestellt werden, während dessen Verlaufs Zwischenaudits vorgesehen sind und an dessen Ende ein neues Gesamtaudit stattfi ndet. Wir beabsichtigen nun, unseren Entwurf eines Referenzmodells den Zertifi zierungsun- ternehmen vorzulegen, die Erfahrung mit den Normen ISO 900x und/oder ISO 17799 haben, um die Integrität und die Anwendbarkeit dieses Modells sicherzustellen. 1.1.2 Übermittlung von Personendaten durch Luftfahrtgesellschaften an die US- und kanadischen Behörden Die Übermittlung von Personendaten betreffend die Passagiere an die US-Behörden durch Fluggesellschaften, welche der schweizerischen Datenschutzgesetzgebung unterstellt sind, ist in einem Abkommen zwischen der Schweiz und den Vereinigten Staaten geregelt. Dieses wurde vom Bundesrat am 4. März 2005 genehmigt. In diesem Abkom- men bieten die US-amerikanischen Behörden die gleichen Garantien, wie sie der Europäischen Union zugestanden werden. Unter dem Blick- winkel des Datenschutzes kann dieses Abkommen als annehmbar be- urteilt werden. Ein ähnliches Abkommen wurde am 16. März 2006 mit Kanada abgeschlossen. In unserem 11. Tätigkeitsbericht 2003/2004 vertraten wir den Standpunkt, dass im Hin- blick auf die Erfordernisse der Datenschutzgesetzgebung ein Abkommen zwischen der Schweiz und den Vereinigten Staaten für die Übermittlung von Personendaten durch die Fluggesellschaften an die US-Behörden die beste Lösung sei. Im Novem- ber 2004 wurde ein solches Abkommen zwischen der Schweiz und den Vereinigten Staaten abgeschlossen. Dieses Abkommen, das der Vereinbarung zwischen der Eu- ropäischen Union und den Vereinigten Staaten ähnlich ist, wurde vom Bundesrat am 4. März 2005 genehmigt. Unter dem Blickwinkel des Datenschutzes kann es als an- nehmbar erachtet werden. Die Liste der zu übermittelnden Daten ist weniger umfang- reich als ursprünglich verlangt. Die besonders schützenswerten Daten, etwa über den Gesundheitszustand oder Daten, die Rückschlüsse auf die Religion eines Passagiers zulassen, werden den US-Behörden nicht mitgeteilt. Die Daten dürfen nur zum Zwecke der Bekämpfung des Terrorismus und der internationalen Kriminalität bearbeitet wer-
15 13. Tätigkeitsbericht 2005/ 2006 des EDSB den. Die Aufbewahrungsdauer für diese Daten wurde auf 42 Monate statt der von den Vereinigten Staaten gewünschten 50 Jahre festgelegt. Ausser über die von den Flug- gesellschaften erteilten Informationen klären die US-Behörden die Passagiere über die für die Sammlung von Personendaten verantwortliche Behörde, die Zweckbestim- mung der gesammelten Daten, die erfolgten Datenbearbeitungen sowie über die Ver- fahren betreffend das Auskunfts- und Berichtigungsrecht auf. In diesem Rahmen kann der Eidgenössische Datenschutzbeauftragte in Vertretung einer betroffenen Person handeln. Die US-Behörden werden dieses Jahr gemeinsam mit den schweizerischen Behörden die Durchführung des Abkommens überprüfen. Ein ähnliches Abkommen wurde am 16. März 2006 mit Kanada abgeschlossen. Der Text des Abkommens mit den Vereinigten Staaten ist auf der Website des Bundes- amtes für Zivilluftfahrt abrufbar: http://www.aviation.admin.ch/imperia/md/content/bazl/aktuell/medienmitteilungen/93.pdf Der Text des Abkommens mit Kanada ist ebenfalls auf dieser Website auf folgender Adresse abrufbar: http://www.aviation.admin.ch/imperia/md/content/bazl/aktuell/medienmitteilungen/125.pdf
16 13. Tätigkeitsbericht 2005/ 2006 des EDSB 1.2 Weitere Themen 1.2.1 Registerharmonisierung, Personenidentifi kator und Volkszählung Im Hinblick auf die Volkszählung 2010 wurde die Harmonisierung der Personenregister vorangetrieben. Als Verknüpfungsmittel zwischen den einzelnen Registern sollte ein Personenidentifi kator eingeführt werden. Diesbezüglich wurden mehrere Projekte ausgearbeitet. Das neuste sieht eine Registerharmonisierung vor, mit der neuen AHV-Num- mer als gemeinsamem Merkmal in den einzelnen Registern. Für die re- gistergestützte Volkszählung sollten aber auch andere Modelle in Be- tracht gezogen werden. Der Bundesrat nahm im März 2004 von den Ergebnissen des Vernehmlassungsverfah- rens zum Bundesgesetz über die Harmonisierung der Einwohnerregister und anderer amtlicher Personenregister Kenntnis und beauftragte das Eidgenössische Departe- ment des Innern (EDI) mit der Ausarbeitung der Botschaft. In der Vernehmlassung kam auch die Frage der Einführung von koordinierten Personenidentifi katoren auf. Das Bundesamt für Statistik (BFS) hat im Bereich Personenidentifi kator mehrere Pro- jekte ausgearbeitet, die mehreren Konsultationen unterworfen wurden. Nachdem der einheitliche eidgenössische Personenidentifi kator (EPID) auf Ablehnung stiess, sollte an seiner Stelle ein System von sechs sektoriellen Personenidentifi katoren (SPIN) ein- geführt werden. Wir haben hierzu verlangt, dass die Register den Sektoren zugeteilt und diese Sektoren konkret defi niert werden, was indessen nie erfolgt ist. Aufgrund der Ergebnisse des Vernehmlassungsverfahrens über den SPIN hat der Bundesrat im Oktober 2004 dem EDI den klaren Auftrag erteilt, die Einführung des Personenidentifi - kators auf die Bevölkerung zu beschränken (BPIN), mit Verwendung der STAR-Nummer aus dem Zivilstandswesen des Registers INFOSTAR. Im November 2004 erfolgten die Ämterkonsultationen zum Botschaftsentwurf zu einem Bundesgesetz über die Har- monisierung der Einwohnerregister und anderer amtlicher Personenregister (RHG) und zum Botschaftsentwurf zu einem Bundesgesetz über den eidgenössischen Per- sonenidentifi kator Bevölkerung (BPING). Am 10. Juni 2005 hat der Bundesrat das EDI beauftragt, eine Botschaft für ein Bun- desgesetz zur Registerharmonisierung auszuarbeiten und den Eidgenössischen Räten so rasch als möglich zu unterbreiten. Zudem hat er entschieden, dass die neue AHV- Nummer als gemeinsames Merkmal in bestimmten Personenregistern auf Bundes-, Kantons- und Gemeindeebene eingeführt werden soll.
17 13. Tätigkeitsbericht 2005/ 2006 des EDSB Ab 2008 soll die bisherige AHV-Nummer durch diese neue AHV-Nummer ersetzt wer- den. Diese Nummer (auch neue Versichertennummer oder Sozialversicherungsnum- mer genannt) soll als Personenidentifi kator in Statistik und Verwaltung dienen. Be- züglich der persönlichen Identifi kationsnummer bedeutet dies ein Schritt in Richtung einheitlicher eidgenössischer Personenidentifi kator mit den damit verbundenen Ri- siken (vgl. hierzu auch 12. Tätigkeitsbericht 2004/2005, Ziffer 1.2.1; 10 Tätigkeitsbericht 2002/2003, Ziffer 1.2.1). Die neue AHV-Nummer als Identifi kationsnummer ist für den Bereich der Sozialversicherung vorgesehen und muss sich unserer Ansicht nach auch auf diesen beschränken. Wir sind der Meinung, dass in der Schweiz andere Modelle, wie etwa die moderne und zukunftsorientierte Lösung aus Österreich, berücksichtigt werden sollten, da sie auch Vorteile für ein zukünftiges E-Government mit sich bringen würden. Das öster- reichische Modell basiert auf bereichsspezifi schen Nummern und auf einer Reihe von kryptographischen Transformationen. Die Vermischung von Statistik und Verwaltung sollte tunlichst vermieden werden, da die Bedürfnisse bezüglich Datenqualität und - menge verschieden sind. Mit bereichsspezifi schen Nummern wird auch das Risiko der Datenverknüpfbarkeit verringert. Die Verwendung der AHV-Nummer ist heute gesetz- lich nicht eingeschränkt und hat sich im Laufe der Zeit weit und unkontrollierbar über die AHV hinaus bis in den geschäftlichen und privaten Bereich verbreitet. Es muss auf jeden Fall eine klare Regelung des Verwendungszweckes der Versichertennummer als allgemeine Personenidentifi kationsnummer und der damit verbundenen technisch- organisatorischen Massnahmen geschaffen werden. Die fehlende Einschränkung des Nutzerkreises und der Defi nition des Verwendungszweckes im Gesetz über die Alters- und Hinterlassenenversicherung (AHVG) öffnen die Tore zu verschiedensten Verwen- dungen dieser Nummer (Zweckentfremdung). Besser wäre es, das österreichisches Modell für die schweizerischen Bedürfnisse an- zupassen. Somit hätten wir eine datenschutzkonforme Lösung, die bereits umgesetzt worden ist und sich bewährt hat.
18 13. Tätigkeitsbericht 2005/ 2006 des EDSB 1.2.2 Der Schutz der Privatsphäre im Rahmen eines Einbürgerungsverfahrens Im Rahmen eines Einbürgerungsverfahrens durch Beschluss der Ge- meindeversammlung oder durch eine Volksabstimmung ist die Ver- öffentlichung von Personendaten über die Kandidaten unter dem Ge- sichtspunkt des Schutzes der Privatsphäre unverhältnismässig. Eine dem DSG entsprechende Lösung würde darin bestehen, die Befugnis zur Prüfung der Kandidatendossiers einem beschränkten Kreis von zur Geheimhaltung verpfl ichteten Personen, zum Beispiel einer Sonder- kommission, zu übertragen. Zu Beginn des Jahres 2005 wurden wir aufgefordert, zu dem von der Staatspolitischen Kommission des Ständerates (SPK-SR) erarbeiteten Vorentwurf zur Änderung des Bür- gerrechtsgesetzes (BüG) Stellung zu nehmen. Dieser Entwurf war die Konkretisierung einer parlamentarischen Initiative, welche auf zwei Bundesgerichtsentscheide zurück- ging, in denen namentlich das Einbürgerungsverfahren durch Volksabstimmung für verfassungswidrig erklärt wurde. In dem Entwurf der SPK-SR ging es darum, die Tradi- tion der Einbürgerung durch Beschluss der Gemeindeversammlung oder durch eine Volksabstimmung mit den Erfordernissen eines Rechtsstaates in Einklang zu bringen; laut Vorschlag der SPK-SR würde den Kantonen ausdrücklich die Kompetenz zur Fest- legung des Einbürgerungsverfahrens auf Kantons- und Gemeindeebene zuerkannt; sie müssten jedoch eine obligatorische Begründung des Beschlusses und ein letz- tinstanzliches Beschwerderecht auf kantonaler Ebene vorsehen. Wir äusserten unsere Zweifel betreffend die Vereinbarkeit der Einbürgerung über eine Volksabstimmung mit den Grundrechten. Im Wesentlichen haben wir jedoch den Vor- schlag der SPK-SR unter dem Blickwinkel des Schutzes der Privatsphäre beurteilt. So betrachtet erschien uns die Kompetenzzuweisung an die Kantone für die Festlegung des Einbürgerungsverfahrens an sich nicht problematisch. Der Entwurf der SPK-SR übertrug den Kantonen allerdings auch die Kompetenz für die Bestimmung der Da- ten, die veröffentlicht werden dürfen; in dieser Hinsicht wurde jedoch präzisiert, dass einzig die «unerlässlichen» Personendaten betreffend die Staatsangehörigkeit und die Dauer des Wohnaufenthaltes sowie die allgemeinen Informationen über die Einhal- tung der Rechtsordnung und über die Integration veröffentlicht werden dürften. Unseres Erachtens ist die Veröffentlichung all dieser Personendaten zur Einsichtnah- me durch sämtliche Stimmbürger unverhältnismässig.
19 13. Tätigkeitsbericht 2005/ 2006 des EDSB Die Veröffentlichung von Personendaten der Einbürgerungskandidaten bedeutet einen Eingriff in die Privatsphäre, der nur rechtmässig ist, wenn er im Gesetz vorge- sehen, durch ein überwiegendes Interesse gerechtfertigt und verhältnismässig ist. Im vorliegenden Fall besteht ein öffentliches Interesse daran, dass das Entscheidungsor- gan über relativ ausführliche Informationen über die Einbürgerungskandidaten ver- fügt, um die Erfüllung der Voraussetzungen für die Einbürgerung beurteilen und damit über die Gewährung des Bürgerrechts befi nden zu können. In diesem Zusammenhang können besonders schützenswerte Daten wie etwa politische oder auch religiöse Akti- vitäten für die Beurteilung der Integration der Einbürgerungskandidaten zweckdienlich sein; ebenso erscheint die Kenntnis von einer früheren Verurteilung einer Person uner- lässlich, um zu überprüfen, ob sie die schweizerische Rechtsordnung einhält. Eine – der gesamten Bevölkerung zugängliche – Veröffentlichung von Informationen über die Staatsangehörigkeit, die Dauer des Wohnsitzes und der Informationen be- treffend die Rechtsordnung und die Integration ist indessen unverhältnismässig: die materiellen Bedingungen für die Gewährung des Bürgerrechts (Dauer des Wohnauf- enthaltes, Integration, Einhaltung der schweizerischen Rechtsordnung, usw.) sind im Bundesgesetz über Erwerb und Verlust des Schweizer Bürgerrechts vorgesehen und werden namentlich von einer Bundesbehörde ( Bundesamt für Migration) anläss- lich der Erteilung der Einbürgerungsbewilligung des Bundes geprüft. Auch wenn die Kantone die Möglichkeit haben, diese Bedingungen im Rahmen ihres Verfahrens zu prüfen, gibt es doch Massnahmen, die dem Schutz der Privatsphäre der betroffenen Personen besser gerecht werden als die Veröffentlichung der Gesamtheit dieser Da- ten. Es wäre zum Beispiel denkbar, dass im Rahmen des kantonalen Verfahrens eine Son- derkommission vorgesehen wird, die für die Behandlung der Dossiers der Einbür- gerungskandidaten zuständig ist; diese Behörde, bestehend aus einem engen Kreis von zur Geheimhaltung verpfl ichteten Personen, hätte Zugang zu sämtlichen für die Prüfung der Einbürgerungsbedingungen erforderlichen Personendaten. Eine derartige Lösung könnte als verhältnismässig und dem DSG entsprechend erachtet werden.
20 13. Tätigkeitsbericht 2005/ 2006 des EDSB 1.2.3 Mustervertrag für das Outsourcing von Datenbearbeitungen ins Ausland Will eine Schweizer Firma die Bearbeitung ihrer Datensammlung im Ausland in Auftrag geben (Outsourcing), empfehlen wir den Abschluss eines Vertrags zur Regelung der grenzüberschreitenden Datenbekanntgabe. Wir haben in Zusammenarbeit mit David Rosenthal von der Zürcher Anwaltskanzlei Homburger einen Mustervertrag erarbeitet. Er dient dazu, bei Auslagerungen von Datenbearbeitungen ins Ausland einen adäqua- ten Schutz der Personendaten im Sinne des DSG zu gewährleisten. Er ist speziell für Schweizer Firmen erarbeitet worden und stützt sich direkt auf Schweizer Recht, wider- spiegelt aber weitgehend bereits bestehende Musterverträge im Rahmen der EU und des Safe Harbour Agreement. Insbesondere relevant ist der Abschluss des Vertrags bei der Übermittlung der Daten in Länder, die keine Datenschutzbestimmungen kennen, die jenen der Schweiz gleichwertig sind. Der Mustervertrag ist sowohl auf www.edsb.ch als auch im Anhang 11.1 zu fi nden.
21 13. Tätigkeitsbericht 2005/ 2006 des EDSB 2 Datenschutzfragen allgemein 2.1 Datenschutz und Datensicherheit 2.1.1 Praktische Erfahrungen mit dem Bearbeitungsreglement Zu Beginn einer Kontrolle im Rahmen unserer Aufsichtstätigkeit verlan- gen wir vom Inhaber der Datensammlung meist das Bearbeitungsregle- ment, damit wir uns einen ersten Überblick über das zu kontrollierende System verschaffen können. Wir stellen dabei immer wieder fest, dass die Bearbeitungsreglemente noch nicht den Vorgaben entsprechen. Nachdem wir in der Vergangenheit häufi g von Datenschutzverantwortlichen gefragt wurden, was in einem Bearbeitungsreglement genau aufgeführt werden muss, haben wir als Muster ein Inhaltsverzeichnis für ein solches Reglement erstellt, in dem umfas- send aufgeführt wird, was aus der Sicht des Datenschutzes zu dokumentieren ist. Das Verzeichnis kann auf unserer Website www.edsb.ch heruntergeladen werden. Wir müssen aber auch heute noch feststellen, dass die Reglemente von den verant- wortlichen Stellen nicht rechtzeitig und/oder nur unvollständig erstellt werden. Dies ist insofern erstaunlich, als viele Elemente, die das Bearbeitungsreglement beinhaltet, für eine korrekte und transparente Systemplanung und Realisierung sowie für den Sy- stembetrieb unerlässlich sind. Aufgrund der Nichtdokumentation besteht ein Mangel an Transparenz und Steuerbarkeit der Systeme. Das erschwert u. a. die Einhaltung des Datenschutzes. Im Rahmen unserer Aufsichtstätigkeit verschaffen wir uns in der Regel mittels des Bearbeitungsreglements einen ersten Überblick. Für die Inhaber der Datensamm- lungen bzw. die Verantwortlichen für den Datenschutz ist es wichtig, dass sie ein Re- glement zur Verfügung haben, welches die von uns aufgeführten Kriterien umfasst. Selbstverständlich kann es aber auch sein, dass gewisse Punkte, die normalerweise aufgeführt werden müssten, bei gewissen Systemen nicht relevant sind. Dies ist aber entsprechend und ausdrücklich im Reglement festzuhalten. Bei der Erstellung des Bearbeitungsreglements gilt der Grundsatz, dass so viel wie nötig, aber auch so wenig wie möglich zu dokumentieren ist. Für detailliertere Angaben ist auf die jeweiligen Dokumente zu verweisen. Wichtig ist die Transparenz und somit die Verständlichkeit des Reglements. Wir werden auch zukünftig die Inhaber von Datensammlungen darauf aufmerksam machen, dass sie verpfl ichtet sind, ein Bearbeitungsreglement zu erstellen.
22 13. Tätigkeitsbericht 2005/ 2006 des EDSB 2.1.2 Elektronische Spuren innerhalb der Bundesverwaltung Am Computer verrichtete Tätigkeiten hinterlassen elektronische Spu- ren, die zum Teil Personendaten enthalten. Die Sammlung und Bearbei- tung dieser Daten unterliegen dem DSG. Die Bundesverwaltung braucht laut Gesetz für die Bearbeitung dieser Daten eine gesetzliche Grundla- ge. Heutzutage werden die meisten berufl ichen und privaten Arbeitsgänge mit Hilfe eines Computers ausgeführt. Alle diese Tätigkeiten hinterlassen elektronische Spuren, von denen ausgehend theoretisch die Handlungen des Benutzers (wer, was und wann) nachvollzogen werden können. Das Potenzial für eine Verletzung der Privatsphäre ist erheblich. Werden die betreffenden Tätigkeiten am Arbeitsplatz ausgeführt, hat der Arbeitgeber sehr häufi g mittels der elektronischen Spuren Zugriffsmöglichkeiten auf Personendaten. Laut DSG benötigt ein Bundesorgan eine gesetzliche Grundlage, um solche Personen- daten bearbeiten zu können. Wir haben untersucht, welche Art elektronischer Spuren im Rahmen unserer eigenen Tätigkeiten hinterlassen und von den Informatikdiensten erfasst werden (vgl. unseren 12. Tätigkeitsbericht 2004/2005, Ziffer 2.1.2.). Das Bundes- amt für Informatik und Telekommunikation (BIT) übergab uns eine vollständige Liste der gesammelten Informationen, in der nicht nur die Art der bearbeiteten Spuren, sondern auch die Aufbewahrungszeit und die Existenz etwaiger Sicherungskopien aufgeführt sind. Auf Grund dieser Arbeiten konnten wir das BIT auf die Notwendigkeit der Ausarbeitung einer gesetzlichen Grundlage für die Bearbeitung solcher Daten hin- weisen. In seinem Rechtsgutachten zu dieser Problematik gelangt das Bundesamt für Justiz zu denselben Schlussfolgerungen.
23 13. Tätigkeitsbericht 2005/ 2006 des EDSB 2.2 Weitere Themen 2.2.1 Einsatz von Aufklärungsdrohnen zu Gunsten des Grenzwachtkorps Das Grenzwachtkorps möchte die Landesgrenzen mit Aufklärungsdroh- nen der Armee überwachen lassen. Diese Aufklärungsfl üge erlauben jedoch nicht nur die (unbestrittene) Überwachung von illegalen Grenz- übertritten. Ins Blickfeld der Drohnenkameras gelangt auch eine Viel- zahl von unbescholtenen Einwohnern. Der Drohneneinsatz muss in einem Bundesgesetz ausdrücklich und ausreichend geregelt sein. Auf Begehren des Grenzwachtkorps kommen ab Januar 2006 Aufklärungsdrohnen (unbemannte Kleinfl ugzeuge) der Armee zur Geländeüberwachung im Grenzraum zum Einsatz. Dies geschieht im Rahmen des Assistenzdiensteinsatzes der Armee zur Verstärkung des Grenzwachtkorps zugunsten der Sicherheit an der Grenze (so ge- nannter Armeeeinsatz «LITHOS»). Die Drohnen sollen zur Bekämpfung des Schmug- gels, der grenzüberschreitenden Kriminalität und der illegalen Migration eingesetzt werden. Ausgestattet mit Kameras und Nachtsichtgeräten, überwachen die Drohnen den «grenznahen Raum». Diese Einsatzräume erstrecken sich gemäss Aussagen des zuständigen Grenzwachtkorps auf weite Teile der Grenzkantone. Auch grosse Agglo- merationen wie Basel und Genf gehören dazu. Unabhängig vom vorliegenden Anwendungsfall sieht sich die Luftwaffe in letzter Zeit vermehrt mit Anfragen ziviler Behörden (kantonale Kristenstäbe, Polizeikorps etc.) konfrontiert. Diese möchten Drohnen unter anderem bei Demonstrationen, zur Len- kung des Strassenverkehrsaufkommens (Staus am Gotthard) oder gar zur Verbrecher- jagd einsetzen. Wir haben mit den beteiligten Bundesstellen (Luftwaffe und Grenzwachtkorps) über einen längeren Zeitraum hinweg Diskussionen über einen datenschutzkonformen Ein- satz der Drohnen geführt. Unbestritten war auch von unserer Seite stets, dass der Ein- satz von Drohnen ein hilfreiches Mittel zur Erkennung von illegalen Grenzübertritten sein kann. Keine Einigung konnten mit den beiden Bundesstellen in folgenden Fragen erzielt werden:
24 13. Tätigkeitsbericht 2005/ 2006 des EDSB Luftaufnahmen sind Personendaten Die Luftwaffe und das Grenzwachtkorps sind der Ansicht, dass beim Einsatz der Droh- nen überhaupt keine Personendaten bearbeitet werden. Laut DSG sind Personendaten alle Angaben, die sich auf eine bestimmte oder be- stimmbare Person beziehen. Der Drohneneinsatz verfolgt den Zweck, den Aufent- haltsort von Personen zu bestimmen und deren Bewegungsverhalten zu überwachen. Anhand von mobilen Einsatzkräften der Grenzwache vor Ort oder durch andere Hilfs- mittel kann eine Person ohne weiteres identifi ziert werden. Kommt es in der Folge zu administrativen oder strafrechtlichen Verfolgungen und Sanktionen, so liegen sogar besonders schützenswerte Personendaten vor. Werden die Drohnen über einen län- geren Zeitraum zur Erstellung des Bewegungsverhaltens einer Person eingesetzt, so handelt es sich um ein Persönlichkeitsprofi l im Sinne des DSG. Aus datenschutzrechtlicher Sicht ist unerheblich, dass die gegenwärtig eingesetzten Drohnen keine hochaufl ösenden Bilder liefern (so können beispielsweise keine Auto- kennzeichen gelesen werden). Es dürfte nur eine Frage der Zeit sein, bis Kameras mit entsprechend leistungsfähigen Zooms zur Verfügung stehen. Somit gilt: Luftaufnahmen, die im Rahmen von Flügen mit Überwachungscharakter ge- macht werden und letztlich eine Identifi kation von Personen bezwecken, stellen Per- sonendaten im Sinne des DSG dar. Bundesorgane dürfen besonders schützenswerte Personendaten und Persönlichkeitsprofi le nur bearbeiten, wenn ein Bundesgesetz sie ausdrücklich dazu ermächtigt. Das Militärgesetz erlaubt den Drohneneinsatz nur im Rahmen des eigentlichen Kernauftrags der Armee. Jeder Einsatz von Aufklärungsdroh- nen im Rahmen der Hilfeleistung zugunsten anderer Behörden bedarf einer eigenen, expliziten gesetzlichen Grundlage in einem Bundesgesetz. Diese muss mindestens den Zweck und den Umfang des Drohneneinsatzes festlegen, die Verantwortlichkeiten und Datenempfänger defi nieren sowie die Frage des Umgangs mit Zufallsfunden be- antworten. Die Zollgesetzgebung bildet keine ausreichende gesetzliche Grundlage Das Grenzwachtkorps stellt sich auf den Standpunkt, dass die Zollgesetzgebung den Drohneneinsatz bereits heute hinreichend legitimiert. Gemäss Zollgesetz kann die Zoll- verwaltung automatische Bildaufnahme- und Bildaufzeichnungsgeräte einsetzen, um unerlaubte Grenzübertritte oder Gefahren für die Sicherheit der Grenze zu erkennen. Die Einzelheiten sind in der Verordnung über die Geländeüberwachung mit Videogerä- ten geregelt. Demnach dürfen unter Einhaltung von bestimmten Voraussetzungen Vi- deogeräte zur Sicherung der Zollgrenze und des Zollbezuges sowie zur Überwachung des Grenzübertritts eingesetzt werden.
25 13. Tätigkeitsbericht 2005/ 2006 des EDSB Anhand der Entstehungsgeschichte und der Materialien zum Videoeinsatz an der Grenze (Verordnung vom 26. Oktober 1994 über die Geländeüberwachung mit Vide- ogeräten; Botschaftstexte zum Zollgesetz vom 1. Oktober 1925 und zum neuen Zoll- gesetz vom 18. März 2005 sowie dem Amtlichen Bulletin des Parlaments) konnten wir darlegen, dass der Gesetzgeber nur den Einsatz von automatischen Bildaufnah- me- und Bildaufzeichnungsgeräten am Boden geregelt hat. Weder fi nden sich in den Botschaftstexten zu den Zollgesetzen Ausführungen zu Aufnahmen und Aufzeich- nungen aus einer Drohne, noch hat sich der Gesetzgeber in den parlamentarischen Beratungen zu einem möglichen Lufteinsatz auch nur geäussert. Überdies gilt es zu beachten, dass den Luftaufnahmen im Vergleich zu den am Boden stationierten Videokameras eine besondere Qualität der Datenbearbeitung zukommt. Videokameras am Boden erlauben eine räumlich eng begrenzte Überwachung; Luft- aufnahmen ermöglichen dagegen eine geografi sch unabhängige, örtlich unbegrenzte sowie zeitlich längere Überwachung von Personen. Zudem kann die Drohne weitge- hend unbemerkt ihren Einsatz verrichten. Luftaufnahmen stellen somit ein grösseres Risiko für Eingriffe in die Persönlichkeitsrechte dar als eine am Boden eingesetzte Kamera. Ins Blickfeld der Kameras gelangen dabei nicht nur die anvisierten Zielper- sonen (illegale Grenzgänger), sondern grosse Teile der Bevölkerung. Sie müssen eine potentielle Überwachung in Kauf nehmen, obwohl sie in keiner Weise die Sicherheit der Grenze gefährden oder gar illegal einreisen möchten. Allein schon aus diesem Grund muss sich das Parlament über die Rechtmässigkeit des Eingriffs in die Frei- heitsrechte der Bevölkerung aussprechen und den Drohneneinsatz legitimieren und hinreichend regeln. Kompromissvorschlag Weil wir uns nicht grundsätzlich gegen einen Drohneneinsatz zugunsten des Grenz- wachtkorps stellen, sondern die Einhaltung des DSG und die Respektierung des Per- sönlichkeitsschutzes – insbesondere der unbescholtenen Personen – anstreben, ha- ben wir den betroffenen Bundesstellen eine Übergangslösung vorgeschlagen. Diese orientiert sich an Artikel 17a des DSG-Revisionsentwurfts: Demnach kann der Bundes- rat die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofi len für einen Pilotbetrieb bewilligen, obschon die dafür not- wendigen formellgesetzlichen Grundlagen noch fehlen und erst vom Parlament ge- schaffen werden müssen. Nachdem es lange Zeit nach einer Einigung aussah und die betroffenen Bundesstel- len gemeinsam einen Bundesratsantrag in diesem Sinne ausarbeiteten, hat uns das Eidgenössische Finanzdepartement (EFD) überraschend mitgeteilt, dass es den Antrag
26 13. Tätigkeitsbericht 2005/ 2006 des EDSB dem Bundesrat nicht unterbreiten werde. Es stellte sich auf den Standpunkt, dass die Zollgesetzgebung eine ausreichende Grundlage für den Drohneneinsatz darstellt, und kündigte uns an, dass das Grenzwachtkorps – ohne die Bewilligung des Bundesrates einzuholen – die Luftwaffe ersuchen werde, im Januar 2006 mit dem Drohneneinsatz zu beginnen. 2.2.2 Teilrevision des Militärgesetzes Das VBS hat eine Teilrevision des Militärgesetzes in Angriff genom- men. Diese hat in erster Linie zum Ziel, ausreichende und hinreichend konkretisierte Grundlagen für die Bearbeitung von Personendaten zu schaffen. Der Vorentwurf ist aus datenschutzrechtlicher Sicht noch ver- besserungsfähig. Bereits in den letzten beiden Tätigkeitsberichten haben wir uns mit den datenschutz- rechtlichen Problemen bei der Umsetzung der Armee XXI befasst (s. 12. Tätigkeitsbe- richt 2004/2005; Ziffer 2.2.1, sowie 11. Tätigkeitsbericht 2003/2004; Ziffer 2.2.1). Da- bei haben wir immer wieder kritisiert, dass die vom DSG geforderten ausreichenden Grundlagen im Militärgesetz für die Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofi len fehlen und dass die dem Bundesrat un- terbreiteten Verordnungen inhaltlich oft zu wenig detailliert sind. Gemäss Informationen der Bundeskanzlei hat der Bundesrat das VBS anlässlich der Verabschiedung der total revidierten Verordnung über die medizinische Beurteilung der Diensttauglichkeit und Dienstfähigkeit (VMBDD) angewiesen, eine Teilrevision des Militärgesetzes im Bereich des Datenschutzes voranzutreiben. Im Rahmen dieser nun in Angriff genommenen Arbeiten hat uns das VBS einen ersten Vorentwurf zur Revision der Datenschutzbestimmungen des Militärgesetzes zur Stellungnahme unterbreitet. Dabei haben wir festgestellt, dass zahlreiche Bestimmungen des Vorentwurfs den An- forderungen des DSG nicht genügen. So kann beispielsweise nicht von einer ausrei- chenden gesetzlichen Grundlage gesprochen werden, wenn eine Bestimmung allen Bundesämtern pauschal die Möglichkeit zu einer Bearbeitung von Personendaten zu- billigt. Ebenso wenig vermag eine Umschreibung zu genügen, wonach «ein Bundesamt alle Daten bearbeiten darf, die zur Erfüllung der Aufgaben zwingend notwendig sind». Die gesetzlichen Grundlagen zur Datenbearbeitung müssen inhaltlich hinreichend konkretisiert sein. Dabei sind folgende Mindestanforderungen zu beachten:
27 13. Tätigkeitsbericht 2005/ 2006 des EDSB
28 13. Tätigkeitsbericht 2005/ 2006 des EDSB Zum einen sollten die einzelnen Grundbuchämter die Möglichkeit erhalten, bestimmten Benutzerkreisen die benötigten Daten aus dem Grundbuch mittels Datentransfer (z.B. auf CD-ROM) zur Verfügung zu stellen. Wir haben uns gegen diese Möglichkeit des Da- tentransfers ausgesprochen. Bei einem Datentransfer verlassen die Daten den Herr- schaftsbereich des Datenverantwortlichen. Dem Empfänger bleibt es unbenommen, die erhaltenen Daten ohne weitere Einfl ussnahme zu bearbeiten (z.B. weiterzugeben, zu verändern). Das Grundbuchamt als ursprünglicher Datenverantwortlicher verliert jede Kontrolle über die herausgegeben Daten. Aufgrund unserer Bedenken war das EAGB mit der Streichung dieser Bestimmung einverstanden. Zum anderen sollten Banken, Pensionskassen und Versicherungen einen direkten Zugriff im Abrufverfahren auf jene Grundbuchdaten erhalten, die sie zur Erfüllung ih- rer Aufgaben im Hypothekargeschäft benötigen. Wir haben die Notwendigkeit der Öffnung des Grundbuchs gegenüber diesen Privatpersonen bezweifelt und sehen darin einen Verstoss gegen das Verhältnismässigkeitsprinzip. Unseres Erachtens gibt es Mittel und Verfahren, die weniger stark in die Persönlichkeit der Betroffenen ein- greifen und damit das Verhältnismässigkeitsprinzip respektieren (beispielsweise den herkömmlichen Auszug aus dem Grundbuch). Das EGBA hielt aus Effi zienzgründen an seinem Vorschlag fest. Immerhin konnten wir eine Einigung darüber erzielen, dass die Kantone mit den Benutzern Vereinbarungen zum Umgang mit den erlangten Daten abschliessen müssen. Diese Vereinbarungen richten sich nach einem verbindlichen Muster des EGBA. Sie regeln mindestens die Art und Weise des Zugriffs, die Zugriffskontrolle, den Verwendungszweck der bezogenen Daten, den Schutz vor unbefugtem Zugang zu den Daten, die Einschränkungen hin- sichtlich ihrer Weitergabe an Dritte und die Folgen bei missbräuchlicher Bearbeitung der Daten.
29 13. Tätigkeitsbericht 2005/ 2006 des EDSB 2.2.4 Publikation von Handelsregisterdaten im Internet Eine Privatperson darf Daten aus dem Handelsregister nur verwenden und weiterbearbeiten, wenn sie dafür einen Rechtfertigungsgrund vor- weisen kann. Der Rechtfertigungsgrund der Kreditprüfung ist nur gege- ben, wenn der Dritte ein Interesse am Erhalt dieser Daten nachweisen kann. Ein Unternehmen übernimmt gemäss eigenen Aussagen die im Schweizerischen Handelsamtsblatt (SHAB) veröffentlichten Handelsregisterdaten und publiziert sie auf Website. Damit will es den «Zugriff auf alle im Handessregister eingetragenen Firmen, Personen und Publikationen zurückgehend bis ins Jahr 1996» ermöglichen. Dies hat auch zur Folge, dass bei einer Eingabe von Vornamen und Namen in einer Internet- Suchmaschine als Treffer ein Link auf das Internetportal des besagten Unternehmens angezeigt wird. Auf der Site des Unternehmens werden alle SHAB-Einträge zu dieser Person aufgeführt und es wird zugleich die Möglichkeit geboten, Wirtschaftsinforma- tionen über deren Firma zu bestellen. Zahlreiche Personen haben sich gegen diese Art der Publikation beschwert. Das Un- ternehmen vertritt den Standpunkt, dass es die SHAB-Daten unverändert zur Verfü- gung stellt und damit der spezifi sche Sachzusammenhang des öffentlichen Registers gewahrt wird. Darüber hinaus macht es geltend, dass für diese Form der Datenbear- beitung der im DSG aufgeführte Rechtfertigungsgrund der Kreditprüfung gegeben ist. Die blosse Tatsache, dass das Handelsregister öffentlich ist, bedeutet nicht, dass ein Unternehmen ohne Beachtung des DSG Daten daraus übernehmen und weiterbear- beiten kann. Der Hauptzweck der Öffentlichkeit des Handelsregisters liegt in erster Linie in der Verwirklichung der Rechtssicherheit im Geschäftsverkehr und des Ver- trauensschutzes (Publizitätsfunktion). Diese Aufgabe und die Verantwortung für das Handelsregister hat das Obligationenrecht den zuständigen Behörden und nicht Pri- vatpersonen übertragen. Auf diesen Rechtfertigungsgrund für die Datenbearbeitung kann sich das besagte Unternehmen daher nicht berufen. Für jede Form der rechtmä- ssigen Weiterverwendung von Personendaten aus dem öffentlichen Register benötigt es einen Rechtfertigungsgrund nach DSG. Der vom Unternehmen angeführte Rechtfertigungsgrund der Kreditprüfung ermögli- cht es, Informationen über die Kreditwürdigkeit einer Person zu bearbeiten und un- ter bestimmten Voraussetzungen Dritten bekannt zu geben. Laut Gesetz dürfen dem Dritten jedoch nur Informationen mitgeteilt werden, die dieser für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigt. Dies impliziert, dass der Dritte ein Interesse am Erhalt dieser Daten nachweisen können muss (z.B.
30 13. Tätigkeitsbericht 2005/ 2006 des EDSB laufende Vertragsverhandlungen mit der betroffenen Person). Blosse Neugier eines Internetnutzers reicht dafür nicht aus. Verantwortlich für die Überprüfung dieses Inte- ressennachweises ist der Datenbearbeiter. Es stellt sich die Frage, wie dieser Interes- sennachweis bei einer unbeschränkten und nicht zugangsgeschützten Publikation im Internet vorgenommen werden kann. Als Folge unserer Intervention teilte uns das besagte Unternehmen mit, dass es bereit ist, «die Daten nur gegen Interessennachweis bzw. die Glaubhaftmachung des Interes- ses in geeigneter Form zur Verfügung zu stellen.» Wir werden die Angelegenheit weiter verfolgen und überprüfen, welche Massnahmen zur Umsetzung dieser Anforderung ergriffen werden.
31 13. Tätigkeitsbericht 2005/ 2006 des EDSB 2.2.5 Biometrisches System für die Zutrittskontrolle in einem Sportzentrum Immer häufi ger werden an öffentlichen Anlagen biometrische Zu- gangskontrollen durchgeführt. Um auf die Bedenken der betroffenen Abonnementinhaber einzugehen, haben wir beschlossen, das in einem privaten Sportzentrum eingerichtete neue biometrische Zugangskon- trollsystem einer Prüfung zu unterziehen. Wir sind derzeit dabei, die gesammelten Daten zu analysieren, indem wir sie nach den grundle- genden Datenschutzprinzipien beurteilen. Nachd em sich mehrere Bürger aus Besorgnis über die Einführung eines biometrischen Zugangskontrollsystems in einem privaten Sportzentrum an uns gewandt hatten, ent- schlossen wir uns zu einer Prüfung vor Ort. Wie üblich meldeten wir bei der Leitung des Zentrums unseren Besuch an; wir ersuchten vorgängig um eine Erläuterung zu dem geplanten Konzept und stellten einige grundlegende Fragen. Nach einer Prüfung der Antworten begaben wir uns an Ort und Stelle, um die Datenbearbeitungen festzu- stellen und nachzuprüfen und so unsere Abklärung des Sachverhalts zu vervollstän- digen. Beim heutigen Stand der Einrichtung wird bei Abschluss eines Jahresabonne- ments ein Fingerabdruck erfasst und im Zentralsystem in Form eines biometrischen Templates gespeichert. Bei jedem Schwimmbadbesuch gibt der Abonnementsinhaber den Fingerabdruck ein – dessen eingelesenes Template dem im Zentralsystem gespei- cherten Vergleichsabdruck entsprechen muss – um die Zugangssperre aufzuheben. Eines der eingestandenen Ziele dieser neuen Art der biometrischen Authentifi zierung ist die Verhinderung von Missbräuchen (namentlich durch die Kartenübertragung zwi- schen Angehörigen). Die Karte enthält keinerlei Personendaten, sondern lediglich eine über Radiofrequenz lesbare persönliche Identifi kationsnummer (RFID). Hat der Inhaber oder die Inhaberin die Karte vergessen, kann er oder sie sich zur Identitätsfeststellung am Schalter melden und so Zugang zu den Anlagen erhalten. Wir befassten uns auch mit der Rückverfolgbarkeit der Kundenbesuche, den Aufbewahrungsfristen für die ver- schiedenen Daten und den aus diesem neuen Managementsystem gewonnenen viel- fältigen Statistiken. Nach der Auswertung und Analyse der gelieferten Informationen werden wir der Zentrumsleitung einen abschliessenden Bericht mit Einschätzungen, Verbesserungsvorschlägen oder, je nach den Ergebnissen unserer Untersuchung, eine Empfehlung im Sinne von Art. 29 Abs. 3 DSG zukommen lassen.
32 13. Tätigkeitsbericht 2005/ 2006 des EDSB 2.2.6 Kontrolle des Einsatzes von Biometrie beim Check-In und Boarding am Flughafen Zürich-Kloten Am Flughafen Zürich-Kloten wurde von Dezember 2004 bis Mitte April 2005 das Pilotprojekt Secure Check durchgeführt. Secure Check dient der Verbesserung der Sicherheitsüberprüfung von Passagierdaten sowie Reisedokumenten vor Abfl ug mittels biometrischer Daten und soll dazu beitragen, die Wartezeiten für Flugpassagiere an den Check- points zu verkürzen. Bei der Datenschutzkontrolle des Einsatzes von Biometrie beim Check-In und Boarding sind wir zu einer überwiegend positiven Beurteilung der Handhabung biometrischer Personendaten gekommen. Dennoch drängen sich beim Einsatz von Biometrie am Flug- hafen Zürich-Kloten einige grundsätzliche Überlegungen auf. Im Dezember 2004 wurde von Checkport Schweiz AG und Swissport Schweiz AG in Zusammenarbeit mit SWISS International Airlines das Pilotprojekt Secure Check am Flughafen Zürich-Kloten gestartet. Im Rahmen unserer Funktion als Datenschutzauf- sichtsbehörde im Privatbereich haben wir die Testphase des Pilotprojektes begleitet und einer datenschutzrechtlichen Kontrolle unterzogen. Die Kontrolle konzentrierte sich auf die Erhebung und Bearbeitung der biometrischen Daten. Da im Rahmen des Pilotprojektes erstmalig eine neue Technologie zur Anwendung gelangte (biome- trische Verfahren), bei welcher sensible Personendaten bearbeitet werden, drängte sich die Sachverhaltsabklärung und Datenschutzprüfung bereits im Vorfeld der Imple- mentierung des Pilotversuches auf. Insgesamt fanden zwei Treffen für eine Sachverhaltsabklärung vor Ort mit den invol- vierten Akteuren von Swissport, Checkport und der SWISS in Zürich-Kloten statt. In einer ersten Phase des Pilotprojektes wurden von den Flugpassagieren zwei digi- tale Fingerabdrücke eingescannt und in Vorlagen (Templates) umgewandelt, um die Authentifi zierung am Gate zu ermöglichen. In einer zweiten Phase wurden die zwei Fingerabdrücke durch zwei Gesichtsbilder (Templates) ersetzt. Die Zuverlässigkeit der biometrischen Wiedererkennung variierte während der beiden Augenscheine je nach eingesetzten biometrischen Merkmalen, wobei wir eine höhere Zuverlässigkeit der Authentifi zierung bei den Gesichtsbildern feststellten. Sowohl die Templates der Fingerabdrücke als auch diejenigen der Gesichtsbilder wurden auf einer Smart Card gespeichert, welche der Flugpassagier bis zum Boarding am Gate bei sich behielt. Eine zentrale Speicherung dieser biometrischen Daten fand im Rahmen des Pilotprojektes Secure Check nicht statt.
33 13. Tätigkeitsbericht 2005/ 2006 des EDSB Gestützt auf die durchgeführte Kontrolle gemäss Art. 29 DSG sind wir zu einer über- wiegend positiven Beurteilung der Handhabung biometrischer Daten gekommen. Die im Rahmen des Pilotprojektes getroffenen Massnahmen für die Überführung in ein Defi nitivum weisen aus datenschutzrechtlicher Sicht in die richtige Richtung. Dennoch haben wir in unserem Schlussbericht einige grundsätzliche Überlegungen zum Einsatz von Biometrie aufgeführt, welche von der Projektleitung bei der defi nitiven Realisie- rung des Projektes Secure Check umgesetzt werden sollten. Insbesondere sollten folgende Punkte eingehend geprüft werden:
34 13. Tätigkeitsbericht 2005/ 2006 des EDSB 2.2.7 Personalisierter Ticketverkauf bei Fussball-Grossanlässen Die Veranstalter von Sport-Grossanlässen haben in den vergangenen Jahren vermehrt so genannt personalisierte Ticketverkäufe vorgenom- men. Parallel dazu schreiten auf staatlicher Seite die Gesetzgebungs- arbeiten zur Bekämpfung der Gewalt an Sport-Massenveranstaltungen (Hooliganismus) voran. Wir begleiten einerseits diese Gesetzgebungs- arbeiten im Bereich öffentliche Sicherheit. Andererseits führen wir im Hinblick auf die EURO 08 Abklärungen bei den für den Ticketverkauf ver- antwortlichen Organen durch, soweit diese ihren Sitz in der Schweiz haben. Mit Bezug auf die Gesetzgebungsarbeiten unter dem Titel «Sicherheit bzw. Bekämp- fung von Gewalt bei Grossveranstaltungen» seien hier bloss die zwei wichtigsten vor- gesehenen Elemente kurz erwähnt: Es geht hier als erstes um eine Datenbank der als Hooligans bekannten Personen mit den zugehörigen Regeln betreffend Aufnahme und Löschung von Einträgen. Als zweites wesentliches Element der Gesetzgebung sind Massnahmen wie Stadion- und Rayonverbote vorgesehen. Für weitere Informationen zu den Gesetzgebungsarbeiten sei auf Ziffer 3.1.2 im vorliegenden Tätigkeitsbericht verwiesen. Der so genannte personalisierte Ticketverkauf ist in Europa erstmals anlässlich der Fussball-Europameisterschaft in Portugal (EURO 04) in grossem Umfang betrieben worden. Begründet wurde dieses Vorgehen hauptsächlich mit dem Argument «Sicher- heit»: Nur wenn die Identität aller Besucher überprüft werde, könne auch festgestellt werden, ob sich Hooligans darunter befänden. Nun ergibt sich aber als Nebeneffekt dieses Vorgehens eine umfangreiche Sammlung von Personendaten, welche u. a. für Marketingzwecke sehr interessant sein kann. Anlässlich der EURO 04 hatten deshalb die portugiesischen Veranstalter von den Stellen, welche Tickets verkauften, verlangt, dass diese ihren Kunden eine Widerspruchsmöglichkeit gegen die Verwendung ihrer Daten zu Werbezwecken geben müssten. Diese Vorgabe wurde jedoch in manchen Ländern durch die Tickets verkaufenden Stellen nicht umgesetzt. Insbesondere in Deutschland fand dieser Mangel einige Beachtung in der Presse. Wir gehen davon aus, dass auch für die in Österreich und der Schweiz ausgetragene Euro 08 ein personalisierter Ticketverkauf stattfi nden wird. Es gilt darauf hinzuwirken, dass sich Fehler wie der eben erwähnte nicht wiederholen. Deshalb haben wir mit dem Bundesamt für Sport (BASPO), mit der UEFA und mit dem Schweizerischen Fuss- ballverband (SFV) sowie mit weiteren Partnern wie dem Bundesamt für Polizei (BAP) und kantonalen Behörden Gespräche aufgenommen.
35 13. Tätigkeitsbericht 2005/ 2006 des EDSB Betreffend die WM 06 haben wir im Januar 2005 mit der FIFA Kontakt aufgenommen und bis November 2005 Abklärungen durchgeführt. Diese haben ergeben, dass die FIFA es versäumt hat, der austragenden Stelle in Deutschland Vorgaben im Sinne des Datenschutzes zu machen. Eine zweite unbefriedigende Feststellung liegt darin, dass die FIFA sich im Online-Ticketshop von den Ticketerwerbern eine vorsorgliche «Ein- willigung» in die Verwendung und Weitergabe ihrer Kontaktinformationen zu nicht be- stimmten Zwecken einholt. Und drittens schliesslich führt die FIFA gemäss eigenen Aussagen entgegen ihrer im Internet publizierten Sicherheitsrichtlinien (http://www. fi f a.com/documents/static/regulations/FIFA_Safety_Guidelines_D.pdf) keine Da- tenbank der Stadionverbote. Angesichts des fortgeschrittenen Stadiums der Arbeiten im Zusammenhang mit der WM 06 haben wir nicht weiter interveniert. Wir haben jedoch der FIFA mitgeteilt, dass sie ihre Verantwortung behält und dass wir uns an ihre Aussage halten, wonach sie keine Stadionverbotsdatenbank führe. Mit Blick auf die Zukunft lautete unsere Aussa- ge gegenüber der FIFA, sie müsse konkrete Schritte unternehmen, um die Situation zu verbessern, und uns darüber informieren. Die FIFA hat diese Empfehlungen, die Situation aus datenschutzrechtlicher Sicht zu optimieren, zur Kenntnis genommen. Sie hat ebenfalls zugesagt, uns auf dem Laufenden zu halten.
36 13. Tätigkeitsbericht 2005/ 2006 des EDSB 3 Justiz/Polizei/Sicherheit 3.1 Polizeiwesen 3.1.1 Revision des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit Wir wurden im Rahmen der Ämterkonsultation eingeladen, zu zwei aufeinander folgenden Revisionsentwürfen zum Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit (BWIS II) Stellung zu nehmen. In unserer Stellungnahme zum ersten Entwurf sind wir zum Schluss gekommen, dass die vorgesehenen neuen Massnahmen die Grundrechte verletzen und namentlich einen schweren Eingriff in die Privatsphäre darstellen. Betreffend den zweiten Entwurf haben wir – trotz der darin vorgenommenen Änderungen – an unserer Kritik fest- gehalten und die Meinung vertreten, dass der neue Revisionsentwurf nicht mit den Grundsätzen des Datenschutzes vereinbar ist.
37 13. Tätigkeitsbericht 2005/ 2006 des EDSB Wir waren diesem ersten Gesetzesentwurf gegenüber sehr kritisch. Die vorgesehenen neuen Massnahmen stellen eine Verletzung der Grundrechte der betroffenen Per- sonen und namentlich des Schutzes der Privatsphäre dar. Zudem war keinerlei Rechts- schutz vorgesehen, ebenso wenig wie eine Regelung der nachträglichen Information der betroffenen Personen. Wir sind zum Schluss gekommen, dass dieser Entwurf mit den Grundrechten nicht vereinbar war. Wir haben festgestellt, dass die Wirksamkeit der Mittel, die den zuständigen Behör- den (dem DAP, aber auch den Polizei- und Strafverfolgungsbehörden) gegenwärtig zur Verfügung stehen, nicht vorgängig geprüft worden ist. Ebensowenig ging man der Frage nach, ob es nicht andere, weniger in die Privatsphäre des Einzelnen eingrei- fende Instrumente zur Bekämpfung des Terrorismus gibt (insbesondere eine verbes- serte Zusammenarbeit der zur Bekämpfung des Terrorismus eingesetzten Behörden oder auch die Entwicklung des Strafrechts und des Strafverfahrens). Weder die Not- wendigkeit noch die Verhältnismässigkeit der vorgeschlagenen Massnahmen wurden nachgewiesen. Wir haben weiter darauf hingewiesen, dass kein Bezug hergestellt wur- de zwischen der Schwere des Eingriffs in die Privatsphäre und dem entsprechenden Nutzen für die Sicherheit. Zweifellos stellen die innere und die äussere Sicherheit der Schweiz ein öffentliches Interesse dar; jedoch rechtfertigen sie keineswegs vorbehalt- los Massnahmen, die so stark in die Privatsphäre eingreifen. Jede einzelne Massnah- me ist im Hinblick auf ihre Verhältnismässigkeit zu beurteilen. Das legitime Ziel, den Terrorismus zu bekämpfen, darf auch nicht dazu führen, dass man den betroffenen Personen ohne weiteres die Grundrechte verweigert. Weiter haben wir dargelegt, dass bereits heute gewisse Bestimmungen des Strafge- setzbuchs den Strafverfolgungsbehörden im Zusammenhang mit Straftaten ein sehr frühes Eingreifen erlauben, d.h. noch in einer präventiven Phase, also vor der eigent- lichen Ausführung der Tat. Gemäss dem derzeit geltenden Recht können die zustän- digen Behörden die erforderlichen Zwangsmassnahmen (Telefonabhörung, Durchsu- chung usw.) anordnen, sobald ein konkreter Verdacht besteht. So sind die Vorbe- reitungshandlungen für gewisse Kapitaldelikte (vorsätzliche Tötung, Mord, schwere Körperverletzung etc.) an sich strafbar, und der Urheber kann somit bereits im Stadium der Planung bestraft werden (Artikel 260bis StGB). Ebenfalls ist schon die Zugehörig- keit zu einer kriminellen Organisation strafbar (Artikel 260ter StGB). Auch die Bestra- fung der Terrorismusfi nanzierung ist im Strafgesetzbuch geregelt (Artikel 260quinquies StGB). Darüber hinaus bestehen im Rahmen eines Strafverfahrens bereits zahlreiche Möglichkeiten der Geheimhaltung vor der betroffenen Person. Im Anschluss an diese erste Ämterkonsultation hat der Vorsteher des Eidgenös- sischen Justiz- und Polizeidepartements im Herbst 2005 den Entwurf an die Verfasser zurückgewiesen mit dem Auftrag, einen neuen Text zu erarbeiten.
38 13. Tätigkeitsbericht 2005/ 2006 des EDSB 2. Revisionsentwurf Anfangs 2006 wurden wir eingeladen, zum zweiten Revisionsentwurf Stellung zu neh- men. Dieser unterscheidet sich in mehreren Punkten von seinem Vorgänger, der im Juli 2005 zur Konsultation vorgelegt worden war. Vor allem wurde darauf verzichtet, die organisierte Kriminalität in den Geltungsbereich des BWIS aufzunehmen, und die besondere Informationsbeschaffung wurde auf bestimmte Bereiche beschränkt. Des Weiteren wurden die Grundrechte der Privatpersonen stärker berücksichtigt, indem der neue Entwurf nun die Pfl icht zur nachträglichen Information der beobachteten Personen (mit Ausnahmemöglichkeiten) und ein Beschwerderecht vorsieht. Gemäss dem im zweiten Revisionsentwurf vorgesehenen Verfahren (Bewilligungsver- fahren) müssen alle Massnahmen zur besonderen Informationsbeschaffung durch den Departementsvorsteher angeordnet werden, womit eine politische Verantwor- tung geschaffen wird. Alle Massnahmen – im Gegensatz zum ersten Revisionsentwurf wird hier keine Unterscheidung zwischen den verschiedenen Massnahmen getroffen – müssen vorgängig einer «unabhängigen Kontrollkommission» unterbreitet werden. Diese Kommission besteht aus drei vom Bundesrat ernannten Mitgliedern. Die positive Stellungnahme durch die Kontrollbehörde bildet somit die unabdingbare Vorausset- zung, damit der DAP die besonderen Massnahmen umsetzen kann. In dringenden Fällen könnte der DAP sie indessen auch ohne die vorgängige Zustimmung der Kon- trollkommission und des Departementvorstehers anwenden (Dringlichkeitsverfahren). Dann wäre aber das nachträgliche Einholen der Einwilligung erforderlich. Trotz der angebrachten Änderungen haben wir an unserer ablehnenden Position be- treffend die Erforderlichkeit einer Revision des BWIS festgehalten. Wir haben insbeson- dere die Notwendigkeit und Verhältnismässigkeit der ins Auge gefassten neuen Mass- nahmen in Frage gestellt. Im Übrigen hegen wir Zweifel in Bezug auf die Umsetzung der Mitteilungspfl icht, die Wirksamkeit des Beschwerderechts und die Effi zienz der von der unabhängigen Kontrollkommission durchzuführenden Kontrollen. Wir haben die Auffassung geäussert, dass die Notwendigkeit dieser Massnahmen nicht überzeugend nachgewiesen worden sei. Insbesondere wurde nicht aufgezeigt, in welcher Hinsicht die gegenwärtigen Bestimmungen des Strafrechts für den Kampf gegen den Terrorismus und die Vorbeugung gegen Gefahren für die innere Sicherheit unzureichend sein sollen. Der Revisionsentwurf «BWIS II» sieht insbesondere die Möglichkeit vor, den DAP mit Zwangsmassnahmen auszustatten, wie sie analog im Rahmen eines Strafverfahrens existieren. Sie wären indessen nicht den gleichen Anwendungsbedingungen unter- worfen. Es ist nämlich vorgesehen, dass der DAP in einem – gemessen an dem, was
39 13. Tätigkeitsbericht 2005/ 2006 des EDSB im Strafverfahren möglich wäre – sehr viel früheren Stadium eingreifen und Zwangs- massnahmen anordnen kann. Er kann dies tun, wenn lediglich «Annahmen und vage Hinweise» auf ein strafbares Verhalten vorliegen – ein konkreter Verdacht wird nicht verlangt. Wir haben demgegenüber festgehalten, dass die besondere Informations- beschaffung mit Zwangsmassnahmen gerade eben nur gestützt auf einen konkreten Verdacht auf Begehung einer strafbaren Handlung oder Vorbereitungshandlung erfol- gen sollte. Die Zulassung von Zwangsmassnahmen ohne konkreten Verdacht bedeutet eine Abkehr von den Grundlagen des Rechtsstaats. Für den Fall, dass der Revisionsentwurf trotz unserer Kritik verabschiedet werden sollte, haben wir gefordert, dass das Gesetz zeitlich befristet wird und nach Ablauf eines bestimmten Zeitraums die Wirksamkeit der neuen Massnahmen zu beurteilen ist. Nebst diesen grundsätzlichen Bemerkungen betreffend die Notwendigkeit neuer Massnahmen, haben wir namentlich zu folgenden Punkten Stellung genommen: Unabhängige Kontrollinstanz: Wir sind der Auffassung, dass die unabhängige Kontrol- linstanz eine Gerichtsbehörde sein muss. In jedem Fall muss sie vom Parlament ge- wählt werden und aus gerichtsinstanzlichen Amtsträgerinnen und -trägern bestehen. Unabhängig von der Zusammensetzung der Kontrollinstanz halten wir daran fest, dass diese nicht auf der Grundlage vager Hinweise entscheiden kann. Absoluter Quellenschutz: Es ist vorgesehen, den Quellenschutz auf sämtliche Infor- mationen aus internen Quellen auszudehnen. Zurzeit gilt der absolute Quellenschutz gemäss heutigem Recht nur für Informationen aus dem Ausland. Wir sprechen uns gegen diese Änderung aus, weil wir der Auffassung sind, dass bösgläubige Infor- manten und solche, die strafbare Handlungen begehen, nicht absolut geschützt wer- den dürfen. Im Fall eines schweren Vergehens oder Verbrechens oder von vorsätzlich falschen Informationen müssen sie straf- oder zivilrechtlich haften. Im Weiteren ist im geltenden Recht bereits vorgesehen, dass die Weitergabe von Personendaten nicht zulässig ist, wenn ihr überwiegende öffentliche oder private Interessen entgegenste- hen. Dringlichkeitsverfahren: Falls im Rahmen des Dringlichkeitsverfahrens Daten gesam- melt wurden, die unabhängige Kontrollinstanz jedoch nachträglich eine negative Stel- lungnahme abgibt, stellt sich die Frage nach der Verwendung der Daten in der Zwi- schenzeit. In einem solchen Fall kann nicht gewährleistet werden, dass die inzwischen an Dritte weitergegebenen Daten vernichtet werden. Insbesondere darf angezweifelt
40 13. Tätigkeitsbericht 2005/ 2006 des EDSB werden, ob die ausländischen Dienste diese Informationen vernichten. Wir haben des- halb vorgeschlagen, dass die unabhängige Kontrollinstanz in einer solchen Situation unverzüglich gemäss einem vereinfachten Verfahren über die spezifi sche Frage nach der Meldung an Dritte entscheidet. Mitteilungspfl icht – Nachträgliche Information: Gemäss der Rechtsprechung des Bun- desgerichts und des Europäischen Gerichtshofs für Menschenrechte ist eine Person, die Gegenstand einer geheimen Beobachtung war, grundsätzlich im Nachhinein darü- ber zu informieren. Diese Bedingung ergibt sich implizit aus der Garantie der Achtung der Privatsphäre einer Person und ihres Briefverkehrs und ist eine Voraussetzung da- für, dass die betroffene Person ihr Recht auf wirksame Beschwerde geltend machen kann. Laut dem Revisionsentwurf ist die nachträgliche Mitteilung von vornherein einge- schränkt. Unseres Erachtens kann die betroffene Person allein anhand der mitgeteil- ten Angaben ihre Rechte, insbesondere das Recht auf wirksame Beschwerde, nicht geltend machen. Wir sind der Auffassung, dass allfällige Einschränkungen (namentlich aus Gründen des öffentlichen Interesses) in jedem Einzelfall zu prüfen sind. Im Übrigen würde eine Auskunft gestützt auf Artikel 18 Absatz 6 BWIS im Anschluss an die Einrei- chung eines Gesuchs im Rahmen des indirekten Auskunftsrechts zu spät erfolgen und es der betroffenen Person nicht erlauben, ihre Rechte rechtzeitig geltend zu machen. Indirektes Auskunftsrecht: Schliesslich stellen wir das indirekte Auskunftsrecht im Rahmen der BWIS-Revision in Frage. Diese Praxis ist auf der Grundlage der diesbezüg- lich gesammelten Erfahrungen seit dem Inkrafttreten des BWIS erneut zu beurteilen. Artikel 18 BWIS sieht vor, dass der EDSB die Rechtmässigkeit der Bearbeitung der in ISIS vorhandenen Daten prüft. Die betroffene Person erhält jedoch grundsätzlich kei- nerlei Auskunft über allfällige gespeicherte Daten.
41 13. Tätigkeitsbericht 2005/ 2006 des EDSB 3.1.2 Datenschutz und Hooliganismusbekämpfung Im Rahmen der Ämterkonsultation nahmen wir zum Entwurf der Ände- rung des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit (Bundesgesetz über Massnahmen gegen Gewaltpropaganda und Gewalt anlässlich von Sportveranstaltungen) Stellung (BWIS I). Mit diesem Gesetz soll unter anderem die so genannte «Hooligandaten- bank» eingeführt werden. Obwohl verschiedene unserer Bemerkungen in den Gesetzesentwurf aufgenommen wurden, gibt es immer noch einige Differenzen und offene Fragen. Im Anschluss an unsere Stellung- nahme hielten wir auf Anfrage weiter fest, dass der Einsatz eines bi- ometrischen Gesichtserkennungssystems durch den vorliegenden Ge- setzesentwurf nicht gedeckt ist. Der Gesetzesentwurf BWIS I, zu dem wir uns bereits im Jahr 2002 ein erstes Mal äusserten (vgl. unseren 10. Tätigkeitsbericht 2002/2003, Ziff. 3.1.2), sieht unter ande- rem die Einführung eines Informationssystems vor, in das Daten über Personen aufge- nommen werden, die sich anlässlich von Sportveranstaltungen gewalttätig verhalten haben (so genannte «Hooligandatenbank»). Verschiedene unserer Bemerkungen wurden in den Gesetzesentwurf aufgenommen, es bleiben jedoch noch einige Fragen offen: So vertreten wir die Meinung, dass in der Botschaft präziser umschrieben werden müsste, wann genau ein Fall von «Ge- walt anlässlich von Sportveranstaltungen» vorliegt. Denn solche Fälle müssen von weniger gravierenden Fällen «spontaner Gewalt» unterschieden werden können, da letztere einzig in den Kompetenzbereich der kantonalen Polizei fallen. Die Geset- zesvorlage sieht unter anderem vor, dass eine verhängte Massnahme (unter anderem Stadionverbot und Ausreisebeschränkung) in das Informationssystem eingetragen werden kann, wenn diese zur Wahrung der Sicherheit von Personen oder Sportver- anstaltungen notwendig ist und glaubhaft gemacht werden kann, dass sie begründet ist. Diese Bestimmung ist unseres Erachtens zu vage formuliert und ersatzlos zu strei- chen. Dies umso mehr, als die Gesetzesvorlage bereits für den Fall von Massnahmen, die von einer richterlichen Behörde ausgesprochen oder bestätigt wurden, sowie von Anzeigen an die zuständigen Behörden den Eintrag ins Informationssystem vorsieht. Zudem geht weder aus dem Gesetzesentwurf noch aus der Botschaft hervor, welche Rolle und Zuständigkeiten die bereits bestehende und der Stadtpolizei Zürich ange- gliederte Zentralstelle für Hooliganismus unter dem neuen Gesetz genau haben wird. Auch fragt sich, wie die Zuständigkeitsaufteilung zwischen ihr und dem Bundesamt für Polizei geregelt sein wird. Unbeantwortet bleibt auch, wie die Aufgabenteilung der Organisatoren in ihrer Funktion als private Personen einerseits und als Betraute einer öffentlichen Aufgabe andererseits geregelt sein wird.
42 13. Tätigkeitsbericht 2005/ 2006 des EDSB Im Anschluss an die Ämterkonsultationen wurden wir angefragt, ob der Einsatz eines biometrischen Gesichtserkennungssystems durch den aktuellen Gesetzesentwurf ge- deckt sei. Wir hielten fest, dass der Einsatz eines biometrischen Gesichtserkennungs- systems ausdrücklich in einem formellen Gesetz (beispielsweise im vorliegenden Ent- wurf) geregelt werden müsste. Der Entwurf in seiner gegenwärtigen Form oder eine blosse Regelung auf Verordnungsstufe würden somit nicht genügen. Zudem dürfe die Videoüberwachung keinesfalls ohne Weiteres mit der biometrischen Gesichtserken- nung gleichgesetzt werden, da diese viel stärker in die Persönlichkeit der betroffenen Personen greift. Vor der S chaffung einer entsprechenden formellen gesetzlichen Grundlage müsste überdies die Einhaltung der allgemeinen datenschutzrechtlichen Grundsätze (insbesondere das Prinzip der Zweckgebundenheit und der Verhältnismä- ssigkeit) geprüft werden. Falls die biometrische Gesichtserkennung ebenfalls durch private Personen (wie Organisatoren von Sportveranstaltungen oder Dritte) benutzt werden sollte, müsste nebst der Einhaltung der allgemeinen datenschutzrechtlichen Grundsätze für die Bearbeitung durch diese Private ebenfalls ein Rechtfertigungs- grund (Einwilligung, überwiegendes öffentliches oder privates Interesse, gesetzliche Grundlage) vorliegen. 3.1.3 Indirektes Auskunftsrecht In unserem letzten Tätigkeitsbericht wiesen wir darauf hin, dass wir nach einem Entscheid der Eidgenössischen Datenschutzkommission (EDSK) unsere Praxis betreffend die Überprüfung der indirekten Aus- kunftsgesuche angepasst haben. Nun konnten wir unsere neue Praxis anlässlich einer Sitzung mit der EDSK und dem Bundesamt für Polizei besprechen. Gestützt auf einen Entscheid der Eidgenössischen Datenschutzkommission (EDSK) haben wir unser Verfahren zum indirekten Auskunftsrecht angepasst (vgl. unseren 12. Tätigkeitsbericht 2004/2005, Ziff. 3.1.3). Wie in unserem letzten Tätigkeitsbericht eben- falls erwähnt, mussten einige Punkte des Entscheides der EDSK mit dieser geklärt wer- den. Am 26. November 2004 fand diesbezüglich eine erste Sitzung mit der EDSK, dem Bundesamt für Polizei (BAP) und uns statt. Dabei wurde über unsere neue Praxis sowie über unsere Überprüfungen der indirekten Auskunftsgesuche allgemein gesprochen. Die EDSK stellte verschiedene Fragen, und sowohl das BAP als auch wir konnten aus- führlich über bisherige Erfahrungen, Schwierigkeiten und positive Punkte berichten. Im Anschluss an diese Sitzung erklärte die EDSK, dass sie die neue Praxis des EDSB bei der Überprüfung der indirekten Auskunftsgesuche grundsätzlich genehmige. Da jedoch noch bestimmte Punkte offen bleiben, beschloss die EDSK, die Diskussion zu einem späteren Zeitpunkt weiterzuführen.
43 13. Tätigkeitsbericht 2005/ 2006 des EDSB Im Rahmen verschiedener hängiger Fälle hat uns die EDSK weiter gebeten, zur Aus- legung verschiedener Bestimmungen von Art. 18 des Bundesgesetzes über Mass- nahmen zur Wahrung der inneren Sicherheit (BWIS) sowie von Art. 14 des Bundesge- setzes über kriminalpolizeiliche Zentralstellen des Bundes (ZentG) Stellung zu nehmen. Gleichzeitig hat sie uns eingeladen, darüber am 15. Februar 2006 anlässlich einer Sit- zung zu debattieren. 3.1.4 Kontrollen im Bereich der nachträglichen Information der betroffenen Personen Das Bundesamt für Polizei (BAP) hat uns zur Umsetzung der gesetzlich vorgesehenen nachträglichen Information der betroffenen Personen im Polizeibereich ein Konzept für das Informationssystem JANUS unter- breitet. Keinen Anlass sah das BAP, für das Informationssystem GEWA ein gleiches Konzept zu entwickeln, da hier keine originären Daten- beschaffungen vorgenommen würden. Wir analysierten das Konzept JANUS und brachten einige Änderungsvorschläge an. Gleichzeitig ver- langten wir vom BAP, ein solches Konzept analog für GEWA anzuwen- den. Das BAP nahm die Änderungsvorschläge nicht an und hielt weiter an seiner Auffassung betreffend GEWA fest. Wir haben die Angelegen- heit dem EJPD zum Entscheid vorgelegt. In unserem letzten Tätigkeitsbericht haben wir über unsere Sachverhaltsabklärung und die entsprechenden Empfehlungen bezüglich der nachträglichen Information der betroffenen Personen im Polizeibereich berichtet (vgl. unseren 12. Tätigkeitsbericht 2004/2005, Ziff. 3.1.1). Dabei musste das Bundesamt für Polizei (BAP) im Zusammen- hang mit der Umsetzung von Art. 14 Abs. 1 Bundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes (ZentG) ein Konzept ausarbeiten und uns dieses unterbrei- ten. Trotz mehrerer Schriftwechsel, ausführlichen Dokumentationen und einer Sitzung war für uns immer noch nicht klar, wie genau das BAP die erwähnte Bestimmung umset- zen wollte. Zudem konnten wir in den verschiedenen Schreiben des BAP keine eigent- lichen Konzepte erkennen, in denen die Kriterien aufgeführt worden wären, anhand welcher die betroffenen Personen informiert werden könnten. Aus diesem Grund er- teilten wir dem BAP eine weitere Frist, um uns mitzuteilen, ob es die betroffenen Per- sonen gemäss Art. 14 Abs. 1 ZentG tatsächlich informieren werde und, falls ja, um uns kurze Konzepte für die entsprechenden Informationssysteme (JANUS und GEWA) zu unterbreiten. Daraufhin liess uns das BAP ein Konzept betreffend JANUS zukommen. Betreffend GEWA hielt das BAP fest, dass für die Entwicklung eines Vollzugsprozesses
44 13. Tätigkeitsbericht 2005/ 2006 des EDSB zur Anwendung von Art. 14 Abs. 1 ZentG kein Anlass bestehe, da bei GEWA keine originären Datenbeschaffungen vorgenommen würden, d.h. die Datenbeschaffung für GEWA durch andere Behörden als das BAP erfolgen würde. Darauf analysierten wir das Konzept betreffend JANUS. Uns fi el vor allem auf, dass das BAP auch bei JANUS eine Unterscheidung zwischen originär und nicht originär beschafften Personendaten machte, wobei die nicht originär beschafften Daten systematisch zu keiner Informa- tion der betroffenen Personen gemäss Art. 14 Abs. 1 ZentG führen sollten. Diesbe- züglich hielten wir gegenüber dem BAP fest, dass Art. 14 Abs. 1 ZentG die originäre Datenbeschaffung nicht als Voraussetzung für die nachträgliche Information aufführt. Daher muss sowohl bei der originären wie bei der nicht originären Datenbeschaffung gleichermassen geprüft werden, ob eine nachträgliche Information der betroffenen Person erfolgen kann oder nicht. Gleichzeitig verlangten wir vom BAP Auskunft darü- ber, ob es bereit sei, sein Konzept gemäss unseren Änderungsvorschlägen anzupas- sen, und weiter, das gleiche Konzept analog für GEWA anzuwenden. Das BAP nahm die Änderungsvorschläge nicht an, schlug aber vor, sein Konzept betreffend JANUS in einer Pilotphase umzusetzen und nach deren Auswertung mit uns zu besprechen. Wir haben die Antwort des BAP analysiert und festgestellt, dass unsere Empfehlungen teilweise nicht befolgt wurden. Daher haben wir die Angelegenheit dem EJPD zum Entscheid vorgelegt. 3.1.5 Einführung biometrischer Daten im neuen Schweizer Pass Ab September 2006 werden in der Schweiz im Rahmen einer 5-jährigen Pilotphase biometrische Pässe ausgestellt. Wir sind während der Pla- nungsphase mit den verantwortlichen Stellen des Bundesamtes für Po- lizei in Kontakt getreten, um uns über die Einhaltung des Datenschutzes zu vergewissern. Zugleich haben wir uns im Rahmen der Vernehmlas- sung zum Ausweisgesetz und der Ausweisverordnung geäussert. Un- verhältnismässig erscheint uns bei der Gesetzesrevision, dass die bi- ometrischen Daten der Passinhaber in einer zentralen Datenbank ge- speichert werden sollen. Im September 2004 hat der Bundesrat der internationalen Entwicklung im Bereich Rei- seausweise Rechnung getragen und das EJPD mit der Ausarbeitung einer Gesetzesre- vision des Ausweisgesetzes sowie der Ausweisverordnung beauftragt. Auf Forderung der USA sowie auf Empfehlung der Internationalen Zivilluftfahrt-Organisation (ICAO) soll der Schweizer Pass in Zukunft einen Chip mit biometrischen Daten enthalten. Die Aufnahme biometrischer Merkmale (vorgesehen sind die Speicherung des Ge- sichtsbildes und – in einer späteren Phase – von Fingerabdrücken) soll die eindeutige
45 13. Tätigkeitsbericht 2005/ 2006 des EDSB Identifi kation des Passinhabers bzw. der Passinhaberin ermöglichen sowie den Aus- weismissbrauch erheblich erschweren. Gesichtsbild (und Fingerabdrücke) werden in Biometrie-Erfassungszentren erhoben. Die Daten werden sowohl auf dem Chip als auch im Informationssystem Ausweisschriften (ISA) gespeichert. Die ersten biome- trischen Pässe werden in einer 5-jährigen Pilotphase ab September 2006 ausgestellt, wobei für die Pilotphase nur die Erhebung des Gesichtsbildes vorgesehen ist. Das Pilotprojekt stützt sich auf die Revision der Ausweisverordnung ab. Für die defi nitive Einführung biometrischer Pässe wird das Ausweisgesetz revidiert. Biometrische Daten sind besonders schützenswerte Personendaten im Sinne von Art. 3 Bst. c Ziff. 2 DSG, da sie z.B. Rückschlüsse auf die Rassenzugehörigkeit oder auf Krankheiten ermöglichen. Entsprechend ist bei der vorliegenden Revision und insbe- sondere während der Pilotphase unbedingt die Zweckbindung sowie die Verhältnis- mässigkeit, namentlich die Geeignetheit und Erforderlichkeit, der Aufnahme biome- trischer Daten im Schweizer Pass zu untersuchen. Dabei ist zu bemerken, dass die Schweiz bei der Umsetzung der biometrischen Pässe an gewisse Vorgaben internati- onaler Gremien (ICAO, EU) gebunden ist. In der Vernehmlassung haben wir darauf hingewiesen, dass sich das Pilotprojekt auf keine ausreichende gesetzliche Grundlage abstützt, da für die Bearbeitung beson- ders schützenswerter Personendaten eine formellgesetzliche Grundlage vorliegen muss (Art. 17 Abs. 2 DSG). Die revidierte Ausweisverordnung erfüllt diese Vorausset- zung nicht. Zudem erachten wir die zentrale Speicherung der biometrischen Rohdaten in der Datenbank ISA als unverhältnismässig; der Zweck des biome- trischen Passes – die Authentifi zierung des aktuellen Passträgers – kann nämlich durch Abgleich der gespeicherten Referenzdaten (digitales Gesichtsbild, Fingerab- druck) mit der anwesenden Person erreicht werden. Dass die Daten im ISA von Gesetzes wegen nicht zu Fahndungszwecken eingesetzt werden dürfen, ändert nichts an der Unverhältnismässigkeit der zentralen Speicherung. Weiter ist vorgesehen, dass das Auslesen des Chips an internationalen Grenzen durch zwischenstaatliche Ver- träge geregelt wird. Wir haben die Schaffung ausreichender vertraglicher Zusiche- rungen gefordert, damit die biometrischen Daten nicht missbräuchlich verwendet werden. Dies drängt sich umso mehr bei Ländern auf, die nicht über eine Datenschutz- gesetzgebung verfügen, die derjenigen der Schweiz gleichwertig ist. Auch erachten wir es derzeit als verfrüht, Transportunternehmen, die die Identität ihrer Passagiere überprüfen müssen, ebenfalls Zugriff auf die biometrischen Passdaten einzuräumen. Die derzeit vorhandenen Möglichkeiten zur Verifi zierung der Ticketinhaber erscheinen uns ausreichend. Schliesslich haben wir bezüglich des Einsatzes von RFID-Chips gefor- dert, dass angemessene Massnahmen zur Sicherheit der auf dem Pass gespeicherten biometrischen Daten getroffen werden müssen und insbesondere die Transparenz bei der Datenbearbeitung gewährleistet sein muss.
46 13. Tätigkeitsbericht 2005/ 2006 des EDSB Unabhängig von unserer Vernehmlassung haben wir uns zweimal mit den Verantwort- lichen innerhalb der Projektleitung getroffen und die datenschutzrelevanten Aspekte der Einführung des biometrischen Passes besprochen. Im Oktober 2005 hatten wir Ge- legenheit, die in der engeren Auswahl stehenden biometrischen Erfassungssysteme vor Ort zu besichtigen und uns ein Bild über das Einleseverfahren in den Erfassungs- zentren zu machen. Wir werden während der gesamten Projektphase mit dem feder- führenden Bundesamt für Polizei in Kontakt und im Informationsaustausch stehen. 3.1.6 Verlängerung von zwei Verordnungen im Bereich der inneren und äusseren Sicherheit Im Rahmen der Ämterkonsultation wurden wir aufgefordert, zum Ent- wurf für die Verlängerung von zwei Verordnungen des Bundesrates im Bereich der inneren und äusseren Sicherheit der Schweiz Stellung zu nehmen. Unser Vorschlag zum Verzicht auf die V erlängerung der Ver- ordnung betreffend die Ausdehnung der Auskunftspfl ichten und des Melderechts wurde indessen nicht befolgt. Wir wurden im Rahmen einer Ämterkonsultation aufgefordert, zum Entwurf für eine V erlängerung von zwei provisorischen Verordnungen im Bereich der inneren und äusseren Sicherheit des Staates, die im Anschluss an die Terroranschläge vom 11. September 2001 erlassen worden waren, Stellung zu nehmen. Betreffend die Verordnung über das Verbot der Gruppierung «Al-Qaïda» und verwand- ter Organisationen hatten wir keine Bemerkungen zur Verlängerung ihrer Geltungs- dauer. Dagegen haben wir verlangt, dass auf eine erneute Verlängerung der Verordnung betreffend die Ausdehnung der Auskunftspfl ichten und des Melderechts verzichtet werden sollte. Diese Verordnung, die für eine vorläufi ge Geltungsdauer erlassen und ein erstes Mal Ende 2003 verlängert worden war, stützt sich auf das Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit (BWIS); sie dehnt die Aus- kunftspfl ichten und das Melderecht im Bereich der inneren und äusseren Sicherheit auf sämtliche Behörden und Amtsstellen des Bundes und der Kantone sowie auf alle Organisationen und Anstalten aus, die öffentliche Aufgaben wahrnehmen. Eine solche Massnahme bedeutet eine erhebliche Beeinträchtigung der Grund- rechte – namentlich einen generellen Eingriff in das Amtsgeheimnis – und muss voll- auf gerechtfertigt sein.
47 13. Tätigkeitsbericht 2005/ 2006 des EDSB Wir verwiesen einerseits darauf, dass die geltende Gesetzgebung bereits für zahl- reiche Behörden eine Auskunftspfl icht bzw. ein Melderecht vorsieht. Andererseits konnte der Bericht über die Beurteilung der konkreten Ergebnisse der Verordnung un- seres Erachtens nicht nachweisen, dass eine Ausdehnung der Auskunftspfl ichten und des Melderechts über ihre blosse theoretische Wirkung oder ihren psychologischen Einfl uss hinaus gerechtfertigt wäre. Wir verstehen zwar die Notwendigkeit, den poli- tischen Willen der Schweiz in der Terrorismusbekämpfung unter Beweis zu stellen, sind aber der Auffassung, dass die in der Verordnung vorgesehenen Massnahmen die angestrebten Ziele nicht erreicht haben und dass die geplante Behandlung von Personendaten somit den Grundsatz der Verhältnismässigkeit verletzt. Trotz unserer Bemerkungen hat der Bundesrat mit Beschluss vom 23. November 2005 die Geltungsdauer der beiden vorerwähnten Verordnungen verlängert. 3.2 Weitere Themen 3.2.1 Gesetzesrevisionen im Bereich der Geldwäschereibekämpfung Wir haben zu zwei Revisionsentwürfen im Bereich der Bekämpfung der Geldwäscherei Stellung genommen. Unsere Bemerkungen betreffend die Präzisierung der Gesetzesgrundlage wurden nicht berücksichtigt und im Vorschlag des Bundesrates als Divergenz erwähnt. Wir wurden zu einer Stellungnahme zu zwei Revisionsentwürfen im Bereich der Be- kämpfung der Geldwäscherei aufgefordert. Der erste Entwurf betraf die Verordnung der Kontrollstelle für die Bekämpfung der Geldwäscherei über die Datenbearbeitung (Datenbearbeitungsverordnung), der zweite das Bundesgesetz zur Bekämpfung der Geldwäscherei im Finanzsektor (Geldwäschereigesetz). Betreffend die Datenbearbeitungsverordnung haben wir darauf hingewiesen, dass di- ese keine ausreichende Gesetzesgrundlage für die Sammlung besonders schützens- werter Daten durch die Kontrollstelle für die Bekämpfung der Geldwäscherei darstelle. Für eine solche Datenbearbeitung erfordert das Legalitätsprinzip nämlich eine Ge- setzesgrundlage im formellen Sinn. Da im Geldwäschereigesetz eine entsprechende Anpassung vorzunehmen ist, schlugen wir vor, vor einer Abänderung der Verordnung das Ergebnis des Revisionsentwurfs zu dem Gesetz abzuwarten. Die Verordnung ist in- dessen schon am 1. November 2005 in Kraft getreten. Unseren übrigen Bemerkungen wurde im Wesentlichen Rechnung getragen.
48 13. Tätigkeitsbericht 2005/ 2006 des EDSB Zur Revision des Geldwäschereigesetzes haben wir – gemäss obenstehenden Ausfüh- rungen – um eine Anpassung der Gesetzesgrundlage ersucht und verlangt, dass im Gesetz die Bedeutung und Zweckbestimmung der Bearbeitung besonders schützens- werter Daten präzisiert wird, wie es die Datenschutzgesetzgebung vorschreibt. Überdies werden im Revisionsentwurf die Behörden benannt, die Zugang zum Da- tenbearbeitungssystem GEWA haben. Wir haben darauf hingewiesen, dass auch der Zweck der Datenbearbeitung sowie die Kategorien der bearbeiteten Daten in Anwen- dung des Legalitätsprinzip zu präzisieren wären. Bereits anlässlich der Revision der Verordnung über die Meldestelle für Geldwäscherei hatten wir festgestellt, dass eine Verordnung keine ausreichende Gesetzesgrundlage bildet (vgl. zu diesem Thema un- seren 12. Tätigkeitsbericht 2004/2005, Ziffer 3.2.1). Der Revisionsentwurf enthält schliesslich eine Bestimmung, der zufolge die Meldestel- le Zugang zu der Datenbank ISIS hätte (System zur Bearbeitung von Daten betreffend den Staatsschutz). Unseres Erachtens ist die Notwendigkeit eines solchen Zugriffs nicht erwiesen, und wir haben uns daher gegen diese Möglichkeit ausgesprochen. Unseren im Rahmen der Revision des G eldwäschereigesetzes geäusserten Bemer- kungen wurde nicht Rechnung getragen; sie sind im Vorschlag des Bundesrates als Divergenz angeführt.
49 13. Tätigkeitsbericht 2005/ 2006 des EDSB 4 Gesundheit 4.1 Verschiedene Themen 4.1.1 Tarmed und Datenschutz Gemäss Rahmenvertrag Tarmed erfolgt die Rechnungsstellung zwi- schen Leistungserbringer und Kostenträger innert zwei Jahren nach Einführung von Tarmed – d.h. ab 1. Januar 2006 – in elektronischer Form. Diese Umstellung von der Papierrechnung zum elektronischen Rechnungsformular vereinfacht systematische Kontrollen, erhöht aber gleichzeitig das Risiko einer Persönlichkeitsverletzung. Die richtigen Massnahmen können diese Gefahr auf ein Minimum reduzieren. Wir ha- ben uns bereit erklärt, die Versicherer bei der Erarbeitung eines Daten- schutzkonzepts zu unterstützen. Im Hinblick auf die Einführung von Tarmed im KVG-Bereich auf den 1. Januar 2004 haben wir zwei Sachverhaltsabklärungen vorgenommen und unser Ergebnis in einem Bericht publiziert. In diesem Bericht kommen wir zum Schluss, dass die systematische personenbezogene Datenbearbeitung durch die Versicherer unverhältnismässig ist (vgl. unseren 12. Tätigkeitsbericht 2004/2005, Ziffer 5.1.1, sowie den Bericht «Tarmed und Datenschutz» auf www.edsb.ch). Die Einführung der elektronischen Abrechnung ohne die erforderlichen Schutzmassnahmen steigert das Risiko einer Persönlichkeits- verletzung. Als eine der Schutzmassnahmen schreibt das DSG vor, dass die Versicherer als Inha- ber einer Datensammlung ein Bearbeitungsreglement erstellen müssen. In diesem Reglement werden die technischen und organisatorischen Massnahmen für eine da- tenschutzkonforme Bearbeitung defi niert. Die systematische Bearbeitung von besonders schützenswerten Patientendaten er- fordert aber auch eine detaillierte Beschreibung der konzeptionellen Massnahmen, die das Risiko einer Persönlichkeitsverletzung auf ein Minimum reduzieren. Der Zweck dieser Massnahmen liegt einerseits im Schutz des Patienten bzw. Versicherten. Ande- rerseits geht es aber auch darum, die Akteure, die diese Daten bearbeiten, vor kost- spieligen und imageschädigenden Rechtsverletzungen zu schützen. In diesem Sinne nimmt das Datenschutzkonzept eine zentrale Rolle ein.
50 13. Tätigkeitsbericht 2005/ 2006 des EDSB Wir haben uns bereit erklärt, im Rahmen einer Beratung die Versicherer bei der Erar- beitung eines Datenschutzkonzeptes zu unterstützen. Ein solches Konzept ermöglicht den Vertragsparteien, die zwingend notwendige Transparenz der Bearbeitung von be- sonders schützenswerten Personendaten zu realisieren. Aus diesem Grund haben wir den Versicherern ein Instrument in die Hand gegeben, welches ihnen den Einstieg in das Thema vereinfachen und bei der Entwicklung eines Datenschutzkonzeptes helfen soll. 4.1.2 Aufsicht über die Einhaltung der Bewilligungsaufl agen im Bereich der medizinischen Forschung Der EDSB hat die Aufgabe, die Umsetzung der Aufl agen zu kontrollie- ren, welche die Expertenkommission für das Berufsgeheimnis in der medizinischen Forschung den bewilligten Forschungsprojekten aufer- legt. Aufgrund der bisher durchgeführten Kontrollen kommen wir zum Schluss, dass die Umsetzung der Aufl agen in vielen Fällen nochverbes- sert werden muss. Die Expertenkommission für das Berufsgeheimnis in der medizinischen Forschung entscheidet über Forschungsgesuche im Bereich der Medizin oder des Gesundheits- wesens. Es wird grundsätzlich unterschieden zwischen Sonderbewilligungen, die ausgestellt werden, wenn Daten organisationsübergreifend für Forschungszwecke bearbeitet werden, und generellen Bewilligungen, die für Kliniken und medizinische Universitätsinstitute sowie für Medizinalregister ausgestellt werden. Ein Gesuch ist nur dann einzureichen, wenn die Forschung nicht mit anonymisierten Daten durchge- führt werden kann oder wenn es unmöglich oder unverhältnismässig schwierig ist, die Einwilligung für die Datenbearbeitung bei den Betroffenen einzuholen. Diese haben grundsätzlich das Recht, ihre Daten für Forschungszwecke zu sperren, und sie sind von den jeweiligen Organen über dieses Recht transparent zu informieren.
51 13. Tätigkeitsbericht 2005/ 2006 des EDSB Eine Bewilligung der Expertenkommission ist immer auch mit Aufl agen verbunden. In den meisten Bewilligungen sind dies u. a.:
52 13. Tätigkeitsbericht 2005/ 2006 des EDSB 4.1.3 Anwendbares Recht bei Spitex Bei Datenbearbeitungen durch Spitexdienste stellt sich die Frage, ob das Bundesdatenschutzrecht oder das kantonale Datenschutzrecht an- wendbar ist. In einem Gutachten kommt das Bundesamt für Justiz zum Schluss, dass die Datenbearbeitung durch die Spitexdienste in der Re- gel der Aufsicht der kantonalen Datenschutzbehörden untersteht. Die spitalextene Pfl ege und Betreuung wird in der Schweiz durch die verschiedenen Spitexdienste wahrgenommen. Der Spitex Verband Schweiz, welcher die Spitex- dienste vertritt, beabsichtigt, ein Qualitätssicherungssystem namens «RAI-Home Care Schweiz» für die ganze Schweiz einzuführen. Dabei ist strittig, ob für die Einführung von «RAI-Home Care Schweiz» Bundesdatenschutzrecht oder kantonales Daten- schutzrecht anwendbar ist. Damit ist die Frage verbunden, ob die Datenbearbeitung durch die Spitexdienste der Aufsicht des Eidgenössischen Datenschutzbeauftragten (EDSB) oder jener der kantonalen Datenschutzbeauftragten untersteht. Geht man davon aus, dass es sich bei den Spitexdiensten um private Institutionen handle, die privatrechtlich auftreten – also nicht hoheitlich agierende Behörden sind –, so ist das Bundesdatenschutzgesetz anwendbar und somit der EDSB die zuständige Aufsichtsbehörde. Vertritt man dagegen die Auffassung, dass die Spitexdienste kan- tonale Aufgaben wahrnehmen und aufgrund der kantonalen Gesetze hoheitlich tätig sind, ergibt sich daraus, dass das jeweilige kantonale Datenschutzrecht zur Anwen- dung kommt. Die Datenbearbeitung durch die Spitexdienste untersteht in diesem Fall der Aufsicht der kantonalen Datenschutzbeauftragten. Wir haben in der Folge das Bundesamt für Justiz (BJ) gebeten, ein Gutachten zur Frage der Zuständigkeit auszuarbeiten. Das BJ ist der Ansicht, dass es sich bei der spitale- xternen Pfl ege um eine öffentliche Aufgabe von Kantonen und Gemeinden handle. Im Weiteren würden die Spitexorganisationen durch Kantone und Gemeinden sub- ventioniert und seien in deren Auftrag tätig. Schliesslich unterstünden sie der Auf- sicht der jeweiligen kantonalen und kommunalen Behörden. Dies führe dazu, dass die kantonalen Datenschutzbehörden für die Datenbearbeitung durch die Spitexdienste zuständig seien. Wir gehen mit dem BJ einig, dass die Datenschutzaufsicht über die Spitexdienste grundsätzlich den Kantonen obliegt. Das Qualitätssicherungssystem «RAI-Home Care Schweiz» ist somit an die jeweiligen kantonalen Datenschutznormen anzupassen.
53 13. Tätigkeitsbericht 2005/ 2006 des EDSB 4.1.4 Biobanken: Zwischen Forschungsinteressen und Persönlichkeitsschutz Biobanken vereinigen eine Menge von Daten über eine Person. Nebst Gesundheits- und Lifestyledaten wird auch biologisches Material ge- sammelt (Blut, DNA, Ge webe, Zelllinien) und zu Forschungszwecken weiterbearbeitet. Wie ist mit dem biologischen Material umzugehen und welche Anforderungen sind an die Einwilligung der Betroffenen zu stellen, ohne die Forschung zu verunmöglichen? Wie kann eine missbräuchliche Verwendung der gewonnenen (genetischen) Daten verhindert werden? Wir haben an verschiedenen Veranstaltungen teil- genommen, die sich mit diesen Fragen auseinandergesetzt haben. Die Schweizerische Akademie der Medizinischen Wissenschaften (SAMW) hat zudem jüngst eine Richtlinie in die Vernehmlassung geschickt, wel- che dem Daten- und Persönlichkeitsschutz bei Biobanken einen hohen Stellenwert einräumt. Weltweit werden je länger je mehr so genannten Biobanken angelegt, um die Zusam- menhänge zwischen genetischer Konstitution und Krankheiten zu erforschen. Auch in Spitälern sammeln sich biologisches Material und Patientendaten an, welche zu For- schungszwecken weiterverarbeitet werden. Wir haben an diversen Veranstaltungen zum Thema Biobanken – unter anderem organisiert durch die Stiftung für Datenschutz und Informationssicherheit, GenSuisse und OncoSuisse – teilgenommen und uns zur Frage der Einwilligung der Betroffenen und zur Weiterbearbeitung des biologischen Materials und der Personendaten geäussert. Werden Daten zu Forschungszwecken erhoben, so dürfen sie nur mit Einwilligung des Betroffenen bearbeitet werden. Grundsätzlich gilt dies auch nach Abschluss des kon- kreten Forschungsvorhabens. Doch genau dort liegt das Problem: Häufi g ist bei Beginn eines Forschungsprojektes noch nicht genau absehbar, wohin die Forschung führen wird und welche zusätzlichen Erkenntnisse gewonnen werden können. In gewissen Fällen ist es auch schwierig oder gar unmöglich, die Zustimmung der Betroffenen für weitere Forschungsvorhaben einzuholen, etwa weil die Datenerhebung bereits vor Jahren erfolgte oder man die Betroffenen nicht mehr mit einer Krankheit konfrontieren will. Zum Teil wird auch geäussert, dass nicht die explizite Einwilligung des Spenders vorliegen müsse, sondern die so genannte Widerspruchslösung zu bevorzugen sei. Wer nicht wolle, dass sein Material im Labor verwendet wird, müsse sich ausdrücklich dagegen aussprechen.
54 13. Tätigkeitsbericht 2005/ 2006 des EDSB Wir haben in dieser Frage eine eher restriktive Haltung eingenommen und verlangt, dass biologisches Material und entsprechende Personendaten grundsätzlich nur mit der expliziten Einwilligung des Betroffenen bearbeiten werden dürfen. Diese Einwilli- gung muss sich nicht auf ein spezifi sches Forschungsprojekt beschränken, sondern kann sich auf einen vordefi nierten Forschungsbereich beziehen. Aus unserer Sicht unverhältnismässig wäre hingegen ein so genannter Globalkonsens, der bei der Erhe- bung der Daten für jegliche zukünftige Forschung abgegeben würde. Ferner ist zu for- dern, dass alle Daten frühestmöglich zu anonymisieren oder pseudonymisieren sind. Die Pseudonymisierung sollte vorzugsweise in doppelter Kodierung erfolgen. Der Ko- dierungsschlüssel sollte zudem bei einer unabhängigen Stelle deponiert werden. In diese Richtung weist auch die Richtlinie Biobanken der SAMW, zu welcher wir uns in der Vernehmlassung geäussert haben. Insgesamt haben wir die Schaffung dieser stan- desrechtlichen Richtlinie, an der sich die Betreiber und Nutzer von Biobanken bis zur Erarbeitung einer gesamtschweizerischen gesetzlichen Grundlage orientieren sollen, sehr begrüsst. Wir haben aber angeregt, dass in der Defi nition des Begriffs Biobanken darauf aufmerksam gemacht wird, dass hier besonders schützenswerte Personen- daten im Sinne des Art. 3 lit. c Ziff. 3 DSG bearbeitet werden. Klargestellt werden muss- te auch, dass für Biobanken derzeit bestehendes kantonales, Bundes- und Verfas- sungsrecht anwendbar ist. Ferner haben wir angeregt, dass die Zweckumschreibung einer Biobank möglichst präzise zu erfolgen hat. Begrüsst haben wir, dass die explizite Einwilligung als Grundsatz festgehalten wird. Nicht einverstanden waren wir mit der Auffassung, die Einwilligung in Ausnahmefällen in Form eines Globalkonsenses sei zulässig. Wie bereits erläutert wurde, erachten wir allenfalls einen breiteren Konsens für einen vordefi nierten Forschungsbereich (wie bspw. Erforschung von Tumorerkran- kungen; Pharmakogenetik) als ausreichende Einwilligung in die Datenbearbeitung. Wir werden uns des Weiteren an der Vernehmlassung zum Bundesgesetz über die For- schung am Menschen (HFG), welches die Frage der Biobanken gesamtschweizerisch regeln wird, beteiligen. Die Richtlinie Biobanken der SAMW ist abrufbar unter www.samw.ch
55 13. Tätigkeitsbericht 2005/ 2006 des EDSB 4.1.5 Dignitätsdatenbank für Ärztinnen und Ärzte Im Krankenversicherungsgesetz (KVG) ist vorgesehen, dass der Tarmed- Rahmenvertrag zur Sicherung der Qualität die Vergütung bestimmter Leistungen ausnahmsweise von Bedingungen abhängig machen kann. Es ist dies namentlich das Vorliegen der notwendigen Infrastruktur und der notwendigen Aus-, Weiter- oder Fortbildung eines Leistungserbrin- gers. In diesem Rahmenvertrag vereinbarten die Tarifpartner, dass die FMH eine Datenbank führt, in der die nötigen Informationen den Ver- sicherern elektronisch zugänglich gemacht werden (eine so genannte Dignitätsdatenbank). Die FMH legte uns zur Beurteilung ein Konzept für die Umsetzung vor. Wir sind zum Schluss gekommen, dass die Dignitäts- datenbank grundsätzlich nicht gegen das Bundesgesetz über den Da- tenschutz verstösst, wenn auch einige Anpassungen erforderlich sind. Im Tarmed- Rahmenvertrag vereinbarten die Tarifpartner, dass die Verbindung der Schweizer Ärztinnen und Ärzte FMH den Versicherern elektronisch Dignitätsdaten über ihre Mitglieder zugänglich macht. Die zu bearbeitenden Daten über den Leistungs- erbringer umfassen die EAN-Nummer, den Namen und Vornamen, die erworbenen Diplome und die Tarmed-Besitzstandsgarantie. Dem uns von der FMH vorgelegten Konzept zufolge sollte die Dignitätsdatenbank den Versicherern integral übermittelt werden. Aus dem vorliegenden Sachverhalt ergeben sich folgende Fragen: Verstösst die FMH gegen das DSG, wenn sie die Daten gemäss dem Konzept bearbeitet? Und sollte dies der Fall sein: Welche Massnahmen muss die FMH dagegen ergreifen? Die FMH bearbeitet im Fall der Dignitätsdatenbank Personendaten. Es liegt keine wi- derrechtliche Persönlichkeitsverletzung vor, wenn die Bearbeitung durch ein Gesetz gerechtfertigt ist. Im vorliegenden Fall bildet die in Art. 43 Abs. 2 lit. d KVG formulierte Forderung des Gesetzgebers einen Rechtfertigungsgrund. Dieser ist hinreichend für eine ausnahmsweise Eröffnung der Dignitätsdaten eines Leistungserbringers ge- genüber dem Versicherer für den vom Gesetzgeber vorgesehenen Zweck. Allerdings verstösst eine Übermittlung sämtlicher Dignitätsdaten an den Versicherer gegen den Grundsatz der Verhältnismässigkeit.
56 13. Tätigkeitsbericht 2005/ 2006 des EDSB Wir haben deshalb von der FMH gefordert, das Konzept so zu überarbeiten, dass eine Überprüfung der Dignität durch die Versicherer nur aufgrund der vom Gesetz vorgese- henen Leistungen vorgenommen wird. Zudem ist zu verhindern, dass Dignitätsdaten bei den Versicherern gespeichert werden oder die jeweiligen Versicherer eine Kopie der entsprechenden Datenbank der FMH erstellen. Wir werden in Zukunft prüfen, ob unsere Vorgaben in der Umsetzung berücksichtigt worden sind. 4.1.6 Datensicherheit in der Arztpraxis Der Computer ist inzwischen fester Bestandteil einer Arztpraxis, zu- mal ab 2006 medizinische Leistungen elektronisch abgerechnet wer- den müssen. Die geplante Einführung der Versichertenkarte begünstigt diese Entwicklung ebenfalls stark. Anfragen bei uns zeigen, dass eine Verunsicherung bei den Leistungserbringern besteht, wie einerseits eine Öffnung und andererseits der Schutz der elektronischen Praxis gewährleistet werden kann. Lösungsmöglichkeiten sind eine logische oder eine physische Trennung der Daten. Der Computer gehört als Werkzeug heute in eine Arztpraxis, insbesondere infolge der elektronischen Leistungsabrechnung, welche gemäss Tarmed ab 2006 obligatorisch ist. Eine wichtige Anwendung wird in Zukunft die Schweizerische Versichertenkarte sein. Vor diesem Hintergrund müssen sich die Leistungserbringer folgende Frage stel- len: Unter welchen Bedingungen dürfen auf einem Computer, der mit dem Internet verbunden ist, besonders schützenswerte Daten gespeichert werden? Wenn diesem wichtigen Aspekt keine Beachtung geschenkt wird, kann das katastrophale Auswir- kungen haben. Es ist nicht auszuschliessen, dass bei unbefugtem Zugriff auf Pati- entendaten aufgrund unsicherer Verbindungen der Patient widerrechtlich in seiner Persönlichkeit verletzt wird und der Arzt sich wegen der Verletzung des Berufsgeheim- nisses – was einen Straftatbestand darstellt – zu verantworten hat. Um dies zu verhindern, müssen die Patientendaten so geschützt werden, dass es unter keinen Umständen gelingt, über das Internet auf diese zuzugreifen. Dieser Schutz kann auf zwei Arten gewährleistet werden. Die erste ist ein Schutz durch eine Firewallsoft- oder -hardware. Noch sicherer ist die zweite Möglichkeit: Die Da- ten werden logisch oder physisch vom Internet getrennt. Bei der logischen Trennung befi nden sich die Daten zwar auf dem Computer, der mit dem Internet verbunden ist. Sie werden aber auf dem Speichermedium (z.B. der Harddisk) chiffriert. Die phy- sische Trennung erfolgt, indem die Patientendaten auf einem eigenen, vom Internet getrennten System gespeichert sind. Diese Möglichkeit bietet den maximalen Schutz.
57 13. Tätigkeitsbericht 2005/ 2006 des EDSB 4.2 Genetik 4.2.1 Verordnung zum Bundesgesetz über genetische Untersuchungen beim Menschen Am 8. Oktober 2004 hat das Parlament das Bundesgesetz über gene- tische Untersuchungen am Menschen (GUMG) verabschiedet. Das In- krafttreten ist zusammen mit den Ausführungsbestimmungen per Mit- te des Jahres 2006 geplant. Die Verordnung regelt die Voraussetzungen und das Verfahren zur Erteilung der Bewilligung für die Durchführung von genetischen Untersuchungen. Wir haben uns in der Ämterkonsul- tation zur Aufbewahrungsdauer von Personendaten und zur Datensi- cherheit sowie zur Weiterleitung von Personendaten und biologischem Material geäussert. Problematisch erschien uns die Aufbewahrungsfrist der Laboratorien von mindestens 30 Jahren für Ergebnisse genetischer Untersuchungen (Untersuchungsberichte). Die- se Untersuchungsberichte enthalten die Testresultate der genetischen Untersuchung von Patientinnen und Patienten. Solche äusserst sensiblen Daten über die genetische Konstitution einer Person sind aus datenschutzrechtlicher Sicht besonders schützens- werte Personendaten (Gesundheitsdaten) gemäss Art. 3 lit. c Ziff. 2 DSG. Gestützt auf den Grundsatz der Verhältnismässigkeit muss die Aufbewahrungszeit von Personen- daten mit Blick auf den Bearbeitungszweck und die Persönlichkeitsbeeinträchtigung in einem vernünftigen Verhältnis stehen. Es kann nicht die Aufgabe der Laboratorien sein, Untersuchungsberichte mit beson- ders schützenswerten Personendaten für die nächste Generation aufzubewahren. Wir haben dargelegt, dass eine Pfl icht zur Aufbewahrung während 30 Jahren (und nicht wie vorgesehen während mindestens 30 Jahren) verhältnismässig ist. Zusätzlich haben wir gefordert, dass sicherzustellen ist, dass die Berichte nicht missbräuchlich verwendet werden und sie nicht an unberechtigte Dritte herausgegeben werden. Aus diesem Grund haben wir einen neuen Passus vorgeschlagen, der die Laboratorien ver- pfl ichtet, mit technischen und organisatorischen Massnahmen dafür zu sorgen, dass die Unterlagen ausreichend vor unbefugten Zugriffen gesichert sind. Schliesslich haben wir gefordert, dass Patientendaten und biologisches Material im Rahmen eines Unterauftrages an ein anderes Laboratorium nur in pseudonymisierter Form bekannt gegeben werden dürfen.
58 13. Tätigkeitsbericht 2005/ 2006 des EDSB 5 Versicherungen 5.1 Sozialversicherungen 5.1.1 Datenschutzrechtliche Aspekte bei der Einführung der Versichertenkarte In der revidierten Version des Bundesgesetzes über die Krankenversi- cherung hat der Gesetzgeber der Einführung einer Versichertenkarte in der Schweiz das nötige gesetzliche Fundament gegeben. Das Bun- desamt für Gesundheit wurde damit beauftragt, die Grundlagen für die Einführung der Karte zu erarbeiten. Wir begleiten das Projekt seit des- sen Beginn. Der Gesetzgeber gibt mit dem Art. 42a des revidierten Bundesgesetzes über die Kran- kenversicherung (KVG) dem Bundesrat die Möglichkeit, Versichertenkarten für alle der obligatorischen Krankenpfl egeversicherung unterstellten Personen einzuführen. Diese Karte enthält den Namen der versicherten Person und eine vom Bund ver- gebene Sozialversicherungsnummer. Die Karte wird für die Rechnungsstellung der Leistungen nach diesem Gesetz verwendet. Zusätzlich zu diesem obligatorischen Teil der Versichertenkarte kann der Bundesrat den Umfang von persönlichen Daten fest- legen, die im Einverständnis mit der versicherten Person auf der Karte gespeichert werden dürfen. Wie bei vielen grossen Projekten im Gesundheits- und Versicherungswesen treffen auch bei der Einführung der Versichertenkarte in der Schweiz unterschiedliche Anfor- derungen und Bedürfnisse aufeinander. Während die eine Seite fordert, dass möglichst viele Informationen auf der Karte gespeichert werden, verlangt die andere Seite, dass lediglich die wirklich zwingend erforderlichen Informationen auf der Karte verfügbar sind. So haben auch wir stets die Position vertreten, dass die Karte in der obligato- rischen Anwendung lediglich die Daten enthält, die der Gesetzgeber fordert: Name und Versichertennummer des Versicherten. Weiter dürfen nach unserer Beurteilung diese Daten nur zu dem Zweck eingesetzt werden, der im Gesetz vorgesehen ist, also zur Abwicklung der Rechnungsstellung. In diversen Vorstössen ist es uns gelungen, diese Forderungen durchzusetzen.
59 13. Tätigkeitsbericht 2005/ 2006 des EDSB Bei den fakultativen Anwendungen ist die Voraussetzung anders. In einem Grobkon- zept schlägt das Bundesamt für Gesundheit (BAG) folgende Anwendungen vor: Anga- ben zu Zusatzversicherungen, limitierte klinische Daten, die aktuelle Medikation, das eRezept und kantonale Modellversuche. Das DSG sieht vor, dass besonders schüt- zenswerte Personendaten ausnahmsweise bearbeitet werden dürfen, wenn die be- troffene Person im Einzelfall einwilligt oder ihre Daten allgemein zugänglich gemacht hat (Art. 17 Abs. 2 lit. c DSG). Bei den vorgestellten Anwendungen ist dies der Fall. Aber wir fordern, dass eine wichtige Rahmenbedingung erfüllt sein muss: Gibt die betroffene Person keine Einwilligung, darf dies nicht zu Nachteilen führen. So dürfen etwa Prämienvergünstigungen nicht von der Einwilligung eines Versicherten für das eRezept abhängig gemacht werden. Ein weiteres Problem bei der Einführung der Versichertenkarte bildet die Sozialversi- cherungsnummer. Es ist vorgesehen, dass diese Nummer nicht nur elektronisch ge- speichert, sondern auch sichtbar auf die Karte gedruckt wird. Das bedeutet, dass die Nummer ohne Zugriffseinschränkung mit der Person des Versicherten in Verbindung gebracht werden kann. Die Anforderung, die neue Sozialversicherungsnummer dürfe – anders als die AHV-Nummer – keinerlei Rückschlüsse auf die Person zulassen, ist gefährdet. Dies gilt insbesondere, da geplant ist, die Versichertennummer auch für Bereiche einzusetzen, die nichts mit der Sozialversicherung zu tun haben, etwa für die Volkszählung (vgl. dazu Ziffer 1.2.1 des vorliegenden Tätigkeitsberichts). 5.1.2 Die 5. IV-Revision Im Rahmen der Ämterkonsultation zur 5. IV-Revision nahmen wir er- neut zu datenschutzrechtlichen Fragen Stellung. Der Bundesrat hat die Botschaft sowie den Gesetzestext schliesslich verabschiedet. Die Botschaft ist jedoch aus datenschutzrechtlicher Sicht unbefriedigend. Die 5. IV-Revision ist zur Zeit im Parlament hängig. Hauptziel der 5. IV-Revision ist es, die Früherfassung und Frühintervention im IV-Be- reich zu verbessern. Durch umfassende Massnahmen im medizinischen, sozialen und berufl ichen Umfeld sollen die Betroffenen im Arbeitsprozess verbleiben können. Dies bedingt eine verstärkte Datenbearbeitung von diversen Stellen wie z. B. Arbeitgeber, Krankentaggeldversicherer, IV-Stelle und Arzt. Im Rahmen der Ämterkonsultation haben wir erneut auf die datenschutzrechtlichen Vorgaben hingewiesen, welche eine Bearbeitung von besonders schützenswerten Personendaten (Gesundheitsdaten) voraussetzt (vgl. auch unseren 12. Tätigkeitsbe- richt 2004/2005, Ziffer 6.1.2).
60 13. Tätigkeitsbericht 2005/ 2006 des EDSB Zu begrüssen ist die Tatsache, dass der Bundesrat unsere Bedenken betreffend die mangelnde Transparenz der Datenbearbeitung ernst genommen hat. So sieht der letz- te Entwurf eine verstärkte Informationspfl icht gegenüber den Betroffenen bzw. den versicherten Personen vor. Hingegen ist weiterhin unbefriedigend, dass sich – gemäss dem Botschaftsentwurf – nicht nur die versicherten Personen für die Früherfassung bei der IV-Stelle anmel- den können. Die Meldung zur Früherkennung soll verschiedenen Stellen möglich sein; dazu gehören u. a. diverse andere Versicherer, Arbeitgeber, Familienangehörige so- wie Sozialhilfestellen. Heikel wird es vor allem dann, wenn der Arbeitgeber Einblick in Daten des Arbeitnehmers erhält, zu welchen er normalerweise nicht Zugang hätte. Daraus ergibt sich die Gefahr von möglichen Diskriminierungen am Arbeitsplatz. Aus- gehend vom informationellen Selbstbestimmungsrecht entscheidet grundsätzlich die betroffene Person selbstständig und freiwillig über die Bearbeitung ihrer Daten. Die Freiwilligkeit ist nicht nur ein wesentliches Element des informationellen Selbstbestim- mungsrechts, sondern auch unabdingbare Voraussetzung für ein Vertrauensverhältnis zwischen IV-Stelle und versicherter Person. Schliesslich sieht die 5. IV-Revision eine generelle Ermächtigung für die Abklärung der Leistungsansprüche vor. Diese «Blankovollmacht» soll nicht nur die IV-Organe zur Datenbeschaffung ermächtigen, sondern für sämtliche Sozialversicherer gelten. Wir haben mehrmals festgehalten, dass solche pauschalen Vollmachten mit der Daten- schutzgesetzgebung nicht vereinbar sind. Die Einwilligung hat im Einzelfall zu erfol- gen; die betroffene Person muss über Umfang und Zweck der Einwilligung umfassend informiert sein. Die datenschutzrechtlichen Fragen im Zusammenhang mit der 5. IV-Revision wur- den anschliessend von der Kommission für soziale Sicherheit und Gesundheit des Nationalrates (SGK-NR) behandelt. Wir wurden von der SGK-NR eingeladen, unseren Standpunkt darzulegen. Welcher Entwurf schliesslich von den Eidgenössischen Räten gutgeheissen wird, ist zum jetzigen Zeitpunkt noch nicht klar.
61 13. Tätigkeitsbericht 2005/ 2006 des EDSB 5.1.3 Soziale Krankenversicherer und die gesetzliche Schweigepfl icht Mehrfach wurden wir mit Fällen konfrontiert, bei welchen soziale Kran- kenversicherer Versichertendaten an ein Herzzentrum weitergegeben haben sollen. Dies, obwohl Krankenversicherer grundsätzlich der ge- setzlichen Schweigepfl icht unterstehen. Konkret sollen einzelne Personen von einem Herzzentrum gebeten worden sein, an einem Programm für Menschen mit Herzkrankheiten teilzunehmen. Gemäss den Aus- sagen der betroffenen Personen sollen diverse Krankenkassen dem Herzzentrum mitgeteilt haben, welche Versicherten welche Medikamente nehmen. Mindestens in einem Fall ist die Angelegenheit vor der zuständigen Aufsichtsbehörde, dem Bundes- amt für Gesundheit, hängig. Wir haben die Betroffenen beraten und sind zu folgendem Schluss gekommen: Das Bundesgesetz über den Allgemeinen Teil des Sozialversicherungsrechts sieht vor, dass Sozialversicherer gegenüber Dritten Verschwiegenheit zu bewahren haben. Ausnah- men von der gesetzlichen Schweigepfl icht sind in den diversen Sozialversicherungs- erlassen geregelt. Für soziale Krankenversicherer gelten demnach die Bestimmungen des Krankenversicherungsgesetzes (KVG). Im vorliegenden Fall sieht das KVG für die Krankenversicherer nur eine Möglichkeit vor, um Versichertendaten weiterleiten zu dürfen: Daten dürfen an Dritte nur bekannt gegeben werden, sofern die versiche rte Person im Einzelfall schriftlich eingewilligt hat (vgl. Art 84a Abs. 5 lit. b KVG). Da es sich um besonders schützenswerte Perso- nendaten (Gesundheitsdaten) handelt, sind an den Umfang und den Zweck der Ein- willigung besonders hohe Anforderungen zu stellen. Im Weiteren ist darauf zu achten, dass nur die notwendigen Daten an Dritte weitergeleitet werden. Sofern die schriftliche Einwilligung der betroffenen Personen nicht vorliegt, ist von einer widerrechtlichen Persönlichkeitsverletzung auszugehen. Ihnen stehen die ent- sprechenden Rechtsbehelfe der Datenschutzgesetzgebung wie etwa die Geltendma- chung von Schadenersatz- und Genugtuungsansprüchen zu. Schliesslich besteht für die Betroffenen die Möglichkeit, bei den zuständigen kantonalen Strafbehörden Straf- anzeige einzureichen. Denn mit Gefängnis oder mit Busse wird grundsätzlich bestraft, wer als Durchführungsorgan des KVG namentlich die Schweigepfl icht verletzt.
62 13. Tätigkeitsbericht 2005/ 2006 des EDSB 5.2 Privatversicherungen 5.2.1 Die Beschaffung von Personendaten durch Haftpfl ichtversicherer Ein Haftpfl ichtversicherer hat ein Konzept für die Beschaffung von Geschädigtendaten erarbeitet. Dafür hat er ein Merkblatt zum Daten- schutz und eine entsprechende Einwilligungsklausel ausgearbeitet. Ein Haftpfl ichtversicherer hat ein Merkblatt für Ärzte und Spitäler ausgearbeitet, welches auf das Datenschutzgesetz sowie das strafrechtliche Patientengeheim- nis aufmerksam macht. Gemäss dem Merkblatt ist eine schriftliche Einwilligung der Patienten einzuholen, damit die Ärzte von der ärztlichen Schweigepfl icht entbunden werden bzw. deren Daten an den Haftpfl ichtversicherer weiterleiten dürfen. Falls der Patient bzw. der Geschädigte seine Einwilligung nicht geben sollte, würde der Haft- pfl ichtversicherer den Fall nicht bearbeiten. Die Entbindungserklärung ihrerseits enthält die Namen des Geschädigten, des behan- delnden Arztes sowie den Zweck der Entbindung (Behandlung/Operation). Im Wei- teren soll die Einwilligungsklausel alle weiteren involvierten Ärzte, Medizinalpersonen inklusive administratives Personal von der Schweigepfl icht entbinden. Zudem soll die Entbindungserklärung den Haftpfl ichtversicherer zur Einsichtnahme in die Akten der Sozial- und Privatversicherer berechtigen. Grundsätzlich ist das Bestreben des Haftpfl ichtversicherers zu begrüssen, Patienten- daten vom behandelnden Arzt nur mit der schriftlichen Einwilligung des Patienten zu beschaffen. Insbesondere ist die Einwilligung notwendig, um den Arzt vom Patienten- geheimnis nach Art. 321 StGB zu befreien. Verbesserungswürdig ist jedoch die Einwil- ligungsklausel, soweit sie Anwendung gegenüber weiteren Ärzten, Privatversicherern etc. fi nden soll. Denn es bleibt unklar, bei wem genau der Haftpfl ichtversicherer welche Personendaten zu welchem Zweck beschaffen will. An den Konkretisierungsgrad der Einwilligung sind jedoch hohe Anforderungen zu stellen, wenn es sich um besonders schützenswerte Personendaten (im vorliegenden Fall Gesundheitsdaten) handelt. Von Vorteil wäre es auch, wenn nicht nur die Ärzte durch ein Merkblatt zum Daten- schutz informiert würden, sondern vor allem auch die betroffenen Personen. Denn in erster Linie werden Personendaten der betroffenen Personen bzw. Geschädigten bearbeitet (mehr dazu in unserem 11. Tätigkeitsbericht 2003/2004 des EDSB, Ziffer 6.2.1 und Anhang 13.4).
63 13. Tätigkeitsbericht 2005/ 2006 des EDSB 5.2.2 Bekämpfung von Betrug im Fahrzeugversicherungswesen Ein Teil der Schweizer Versicherungsbranche ist daran, ein gemein- sames System zur Aufdeckung von Betrugsfällen im Bereich der Fahr- zeugversicherung zu schaffen. Durch Abklärungen bezüglich früherer bzw. bereits gemeldeter Fahrzeugschadensfällen sollen Betrugsfälle oder Vorbereitungshandlungen dazu möglichst frühzeitig erkannt und verhindert werden. Zur Vervollständigung der Datensammlung und zur Verbesserung ihrer Wirksamkeit wird beabsichtigt, die Schadenkalku- lationsdaten von Garagen ebenfalls zu erfassen. Dies setzt jedoch in bestimmten Fällen die vorherige Information und Einwilligung dieser Kalkulationsstellen voraus. Eine Zürcher Firma (nachfolgend systemverantwortliche Firma), die im Auftrag meh- rerer Schweizer Versicherungen ein System zur Betrugsaufdeckung im Bereich der Fahrzeugversicherung entwickelt, hat uns um eine datenschutzrechtliche Beurteilung des Projektes ersucht. Das System soll folgendermassen funktionieren: Versicherungen, Sachverständige und Garagen, welche eine von der systemverantwortlichen Firma zur Verfügung ge- stellte Software zur Kalkulation von Fahrzeugschadenfällen benutzen, speichern ihre Kalkulationsdaten in einer zentralen Datenbank (nachfolgend Kalkulationsdatenbank). Die Kalkulationsdatenbank, die von der systemverantwortlichen Firma betrieben wird, bezweckt in erster Linie die Rechnungsgenerierung an die genannten Kalkulations- stellen. In einer zweiten Phase werden die zentral verwalteten Kalkulationsdaten aus der Kal- kulationsdatenbank in eine zweite Datenbank übertragen. Diese zweite Datenbank stellt das eigentliche Betrugsaufdeckungssystem, genannt Vehicle Claim History Sy- stem (nachfolgend Betrugsaufdeckungsdatenbank), dar. Die Betrugsaufdeckungsda- tenbank soll pro Fahrzeugschadenfall vorwiegend Informationen zu Fahrgestell- bzw. Chassisnummer, Code der beteiligten Versicherungsgesellschaft, Schadenhöhe und Kalkulationsdatum liefern. Nach Angaben der systemverantwortlichen Firma sollen auch Daten von Kalkulations- stellen, die lediglich die Schadenkalkulationssoftware und die Kalkulationsdatenbank benutzen, in die Betrugsaufdeckungsdatenbank fl iessen.
64 13. Tätigkeitsbericht 2005/ 2006 des EDSB Aus datenschutzrechtlicher Sicht drängen sich folgende Bemerkungen auf: Die Chassisnummer eines Fahrzeuges ermöglicht Verknüpfungen von Daten der Be- trugsaufdeckungsdatenbank sowohl mit den Kundendatensammlungen der Versiche- rungen als auch mit der Kalkulationsdatenbank. Es ist folglich davon auszugehen, dass die Chassisnummer ein Personendatum gemäss DSG darstellt. Durch die Chassis- nummer sind nämlich die aktuellen wie auch die früheren Inhaber eines bestimmten Fahrzeuges sowohl für die verschiedenen Kalkulationsstellen als auch für die system- verantwortliche Firma bestimmbar. Das DSG ist daher sowohl auf die Betrugsaufde- ckungsdatenbank als auch auf die Kalkulationsdatenbank anwendbar. Das DSG wirkt sich sonach auf drei verschiedenen Ebenen aus: Auf die an der Be- trugsaufdeckungsdatenbank beteiligten und nicht beteiligten Kalkulationsstellen so- wie auf die Versicherungsnehmer. Bei den an der Betrugsaufdeckungsdatenbank beteiligten Kalkulationsstellen braucht es keine Einwilligung zur Bearbeitung ihrer Kalkulationsdaten, da die Betrugsbekämp- fung ein überwiegendes Interesse an deren Bearbeitung darstellt. Was die an der Betrugsaufdeckungsdatenbank nicht beteiligten Kalkulationsstellen betrifft, dürfen ihre Namen in der genannten Datenbank Dritten nicht durch Abruf zur Verfügung gestellt werden. Die nicht beteiligten Kalkulationsstellen sollen somit gegenüber den beteiligten anonym bleiben. Da ihre Namen jedoch innerhalb der sy- stemverantwortlichen Firma bekannt sind, setzt die Bearbeitung ihrer Kalkulations- daten in der Betrugsaufdeckungsdatenbank eine aufgeklärte, freie und ausdrückliche Einwilligung in die zusätzliche Bearbeitung voraus. Diese Einwilligung wiederum muss auf der vorherigen Information dieser Kalkulationsstellen basieren. Werden diese Vo- raussetzungen nicht erfüllt, so wird neben dem Prinzip von Treu und Glauben auch das Zweckbindungsgebot verletzt, wonach Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umständen er- sichtlich oder gesetzlich vorgesehen ist. Schliesslich sind die Versicherungsnehmer durch die systemverantwortliche Firma und die verschiedenen Kalkulationsstellen über die Betrugsaufdeckungsdatenbank und die damit zusammenhängenden Datenbearbeitungen (insbesondere Datenaus- tausch unter Versicherungen und Garagen) in geeigneter Art und Weise zu informie- ren. Dadurch soll nicht nur Transparenz über das Betrugsaufdeckungssystem geschaf- fen, sondern auch das Auskunftsrecht der Fahrzeuginhaber ermöglicht werden. Aus- serdem soll dem Fahrzeuginhaber bei erwiesenem Interesse, z. B. wenn der Kauf eines Fahrzeugs bevorsteht, das Recht auf Einsicht in der Betrugsaufdeckungsdatenbank zwecks Abklärung früherer Unfälle, etwa via Garage (Verkäufer), ermöglicht werden.
65 13. Tätigkeitsbericht 2005/ 2006 des EDSB Wir haben die systemverantwortliche Firma noch auf folgende, für das Betrugsaufde- ckungssystem relevante datenschutzrechtliche Grundsätze aufmerksam gemacht: Das Verhältnismässigkeitsprinzip, wonach nur jene Daten bearbeitet werden dürfen, die zur Erfüllung des angegebenen Zweckes nötig und geeignet sind, soll nicht nur bei der Betreibung der Kalkulationsdatenbank und der Betrugsaufdeckungsdatenbank, sondern auch bei den Datenfl üssen unter den verschiedenen beteiligten Stellen (z. B. bei telefonischem Informationsaustausch zwischen Garagen und Versicherungen) beachtet werden. Versicherungen sind ausserdem an ihre bereichspezifi schen Ver- traulichkeitspfl ichten gegenüber Dritten gebunden. Bei Kunden im Ausland ist ebenfalls sicherzustellen, dass die Voraussetzungen gemä- ss DSG erfüllt sind. Sowohl die systemverantwortliche Firma als auch die beteiligten Kalkulationsstellen haben die nach dem letzten Stand der Technik verfügbaren technischen und organisa- torischen Schutzmassnahmen gegen unbefugte Datenbearbeitungen zu ergreifen.
66 13. Tätigkeitsbericht 2005/ 2006 des EDSB 6 Arbeitsbereich 6.1 Die Prüfung der Kreditwürdigkeit von Angestellten Im Arbeitsverhältnis wird vermehrt die Kreditwürdigkeit der Angestell- ten geprüft. Ein Betreibungsregisterauszug darf nur angefordert wer- den, wenn er für die Beurteilung der Eignung zur Besetzung einer Stelle notwendig und durch ein schützenswertes, besonderes und gegenwär- tiges Interesse gerechtfertigt ist. Ein Schweizer Grossunternehmen ist mit der Frage an uns gelangt, ob das systema- tische Einholen des Betreibungsregisterauszugs sowohl von Stellenbewerbern als auch von Angestellten gerechtfertigt sei. Nach Prüfung von Lehre und Praxis und unter besonderer Berücksichtigung der einschlägigen betreibungsrechtlichen und daten- schutzrechtlichen Grundsätze haben wir der Firma Folgendes mitgeteilt: Das Bundesgesetz über Schuldbetreibung und Konkurs (SchKG) verlangt für die Betrei- bungsauskunft ein schützenswertes, besonderes und gegenwärtiges Interesse. Dieses Interesse braucht nicht notwendigerweise fi nanzieller Natur zu sein, es genügt auch ein anderes rechtliches Interesse. Die Einsicht ist dem Gesuchsteller auch ohne stren- gen Nachweis des Interesses zu gewähren, wenn ernsthafte Indizien dessen Bestehen wahrscheinlich machen. Ein schützenswertes Interesse wird in der Praxis bei Personen grundsätzlich bejaht, die beweisen oder wenigstens glaubhaft machen können, dass sie gegenüber der von der Auskunft betroffenen Person eine Forderung haben. Ferner – was viel häufi ger ist – anerkennt man ein Interesse an der Beurteilung der Kreditwürdigkeit einer Person, wenn nachgewiesen oder glaubhaft gemacht wird, dass ein Vertragsabschluss be- vorsteht oder der Gesuchsteller mit der betreffenden Person in einem Prozess steht. Der Gesetzgeber stufte mit dem Einsichts- bzw. Auskunftsrecht des SchKG in solchen Fällen das Geheimhaltungsinteresse der betroffenen Person vorbehaltlos als geringer ein als das Informationsinteresse Dritter. Der Kern des schützenswerten rechtlichen Interesses liegt darin, dass ein direkter Zu- sammenhang zwischen der Information über die Kreditwürdigkeit und der Gefährdung berechtigter Interessen des Auskunftssuchenden bestehen muss. In vielen Fällen ist dieser Zusammenhang offensichtlich, etwa bei einer Kreditvergabe. Ebenso selbst- verständlich erscheint ein solcher Zusammenhang beim Vermieter zu bestehen, der einen potentiellen Mieter überprüft.
67 13. Tätigkeitsbericht 2005/ 2006 des EDSB Bei einem Arbeitsverhältnis fehlt normalerweise ein berechtigtes Auskunftsinteresse. Es sind indessen auch hier Fälle denkbar, die eine Auskunft rechtfertigen, so z. B. wenn der Arbeitnehmer eine Vertrauensposition einnimmt – zu denken wäre da etwa an die Verwaltung von Kundengeldern oder von Kassen und Tresors. In solchen Fällen kann die persönliche Insolvenz eines Bewerbers bzw. Angestellten eine Gefährdung der Interessen des Arbeitgebers darstellen. 6.2 Aufnahmeverfahren in die Pensionskasse Im Aufnahmeverfahren in die Pensionskasse werden grundsätzlich Ge- sundheitsdaten erhoben. In der Berichtsperiode wurden wir mit meh- reren Fällen konfrontiert, bei welchen unklar war, wer welche Person- daten bearbeiten darf. Im Zusammenhang mit der Aufnahme in die Pensionskasse wurden wir von etlichen Seiten kontaktiert und um Rat gefragt. Insbesondere bei zwei grösseren Firmen haben wir Abklärungen vorgenommen und sind zu folgenden Schlussfolgerungen gekom- men: Tritt jemand eine neue Stelle an, so hat er in der Regel auch einen Antrag für die Aufnahme in eine Pensionskasse zu stellen. Zu diesem Zweck sind standardisierte Formulare mit Gesundheitsfragen auszufüllen. Zusätzlich werden die betroffenen Per- sonen mitunter aufgefordert, medizinische Abklärungen bei einem Arzt durchführen zu lassen. Der Arzt tritt in der Regel als Vertrauensarzt oder ärztlicher Dienst der Pen- sionskasse auf. Für den obligatorischen Vorsorgebereich besteht grundsätzlich eine Aufnahmepfl icht, unabhängig vom jeweiligen Gesundheitszustand. Bietet die Pensionskasse noch Leistungen aus dem überobligatorischen Bereich – was meistens der Fall ist –, sind Ge- sundheitsabklärungen grundsätzlich erlaubt. Dabei ist jedoch zu beachten, dass nur die notwendigen und geeigneten Personendaten für den jeweiligen Zweck bearbeitet werden dürfen (Prinzip der Verhältnismässigkeit). Dies gilt insbesondere für den Umfang der Gesundheitsfragen bzw. -abklärungen, bei welchen ein Vorsorgeversicherer einen Vorbehalt von maximal fünf Jahren anbringen darf. Leider ist eine Tendenz festzustellen, dass v. a. die Gesundheitsfragebögen immer umfangreicher und detaillierter werden. Umso wichtiger ist es deshalb, dass die me- dizinische Daten des Antragstellers beim ärztlichen Dienst bleiben. Eine Weitergabe der Daten an die Vorsorgeeinrichtung ist grundsätzlich unverhältnismässig und wäre ohnehin nur mit einer konkreten Einwilligung der betroffenen Person erlaubt.
68 13. Tätigkeitsbericht 2005/ 2006 des EDSB Zudem sind wir der Ansicht, dass der zuständige Arzt der Vorsorgeeinrichtung Infor- mationen über einen allfälligen Vorbehalt nur soweit als nötig weiterleiten darf. Auf keinen Fall ist der Arbeitgeber im Aufnahmeverfahren über einen allfälligen Vorbehalt, geschweige denn über sonstige Gesundheitsdaten des Antragstellers zu informieren. Insbesondere darf der Arbeitgeber nicht auf die Gesundheitsfragebögen zugreifen. Schliesslich ist der Antragsteller über den Inhalt und Zweck der Datenbearbeitung um- fassend zu informieren (Transparenzprinzip). Es muss für den Betroffenen insbesonde- re klar sein, wer welche Personendaten im Aufnahmeverfahren in die Pensionskasse bearbeitet. Die Informationspfl icht über die Datenbearbeitung gilt auch dann, wenn der Arbeitgeber bzw. dessen zuständiger Vertrauensarzt die Arbeitstauglichkeit des neu eintretenden Arbeitnehmers abklären möchte. Auch hier ist von Bedeutung, dass keine Gesundheitsdaten in die Hände des Arbeitgebers gelangen. Der Arbeitgeber ist allein über den Grad der Arbeitstauglichkeit zu informieren. In der Praxis ist oftmals unklar, wer welche Daten zu welchem Zweck bearbeitet. 6.3 Einsatz von GPS in Dienstfahrzeugen Im Arbeitsbereich ermöglicht die GPS-Technologie (Global Positioning System) die systematische Erfassung der Bewegungskoordinaten von Dienstfahrzeugen und dient hauptsächlich der Leistungskontrolle von Aussendienstmitarbeitern. Aus Sicht des Persönlichkeits- und Gesund- heitsschutzes ist diese Massnahme prinzipiell unbedenklich, sofern der Grundsatz der Verhältnismässigkeit respektiert wird. Ein Angestellter einer Montagefi rma aus dem Grossraum Genf hat sich an uns ge- wandt und sich darüber beschwert, dass sein Arbeitgeber sämtliche Dienstfahrzeuge mit GPS ausgerüstet hat. Er fühlt sich durch diese Massnahme gekränkt und in seiner Persönlichkeit verletzt. Daher hat er uns um eine rechtliche Beurteilung des Problems ersucht. Nach Prüfung des Sachverhalts und der einschlägigen Rechtsprechung sind wir zu nachstehenden Schlussfolgerungen gekommen: Im Arbeitsbereich wird GPS hauptsächlich zur Leistungskontrolle von Aussendienst- mitarbeitern, aber auch zur Lokalisierung gestohlener Fahrzeuge eingesetzt. Die Auf- zeichnung der Bewegungskoordinaten von Dienstfahrzeugen erfolgt systematisch bei jeder Verschiebung des Fahrzeuges ausserhalb der Firma. Sie geschieht ferner per- manent, weil sie den ganzen Arbeitstag und gegebenenfalls auch die Nacht abdecken kann. Sie ist schliesslich gezielt, wenn die erhobenen Daten zur Leistungskontrolle tatsächlich ausgewertet werden.
69 13. Tätigkeitsbericht 2005/ 2006 des EDSB Die persönlichkeitsschutzrechtliche Relevanz des Einsatzes der GPS-Technologie liegt darin, dass ein Bewegungsprofi l der Aussendienstmitarbeiter erstellt werden kann. Im Unterschied zur systematischen Verhaltenskontrolle, welche gesetzlich verboten ist, stellt die Leistungskontrolle eine zulässige und in der Regel notwendige Mass- nahme im Rahmen eines Arbeitsverhältnisses dar. Die Leistungskontrolle durch GPS- Technologie ist in der Regel durch fi nanzielle Interessen sowohl der Firma als auch ihrer Kundschaft gerechtfertigt und nach Auffassung des Bundesgerichts wie auch des EDSB grundsätzlich zulässig. Sie setzt die vorherige Information der betroffenen Arbeitnehmer (z. B. im Arbeitsvertrag) voraus. Nun deckt sich jedoch das Bewegungsprofi l eines mit GPS ausgestatteten Dienstfahr- zeuges nicht zwingend mit demjenigen des entsprechenden Aussendienstmitarbei- ters, kann er doch sowohl den Arbeitgeber als auch die Kunden beispielsweise da- durch in die Irre führen, dass er das Dienstfahrzeug am vorgeschriebenen Arbeitsort abstellt, die rapportierte und fakturierte Arbeitszeit zum Teil aber an einem anderen Ort verbringt. Daher ist es zumindest fraglich, ob die GPS-Technologie zur Leistungs- kontrolle wirklich geeignet ist. Unseres Erachtens gibt es wirksamere Kontrollmög- lichkeiten; so könnte man etwa die Kundin veranlassen, den Arbeitsrapport des Aus- sendienstmitarbeiters zu prüfen und zu unterschreiben. Wo die GPS-Technologie als Leistungskontrollinstrument im Einzelfall ungeeignet ist, ist sie unnötig und somit als unverhältnismässig zu beurteilen. Das GPS ist aber wohl notwendig und nicht durch eine andere Massnahme zu erset- zen, wenn es darum geht, den Missbrauch des Dienstfahrzeuges zu privaten Zwecken oder gar seinen Diebstahl effi zient aufzudecken. Auch hier ist jedoch Vorsicht geboten: Die gezielte Kontrolle nach privaten Missbräuchen von Dienstfahrzeugen kann in Ein- zelfällen auch einer systematischen Verhaltenskontrolle gleichkommen. Wie bereits oben festgehalten, ist diese arbeits- und persönlichkeitsrechtlich unzulässig und darf unter keinen Umständen als Zweck des GPS-Einsatzes dienen.
70 13. Tätigkeitsbericht 2005/ 2006 des EDSB 7 Handel und Wirtschaft 7.1 Kontrolle des Kundenbindungsprogrammes M-CUMULUS Seit dem 1. November 1997 bietet die Migros ihren Kundinnen und Kun- den das Bonusprogramm M-CUMULUS an. Im Rahmen unserer Funktion als Datenschutzaufsichtsbehörde haben wir die entsprechenden Da- tenfl üsse einer Kontrolle unterzogen. Es hat sich gezeigt, dass die Da- tenbearbeitung grundsätzlich datenschutzkonform erfolgt. Trotz die- ser überwiegend positiven Beurteilung sind wir auch auf Sachverhalte gestossen, welche aus datenschutzrechtlicher Sicht einer Anpassung bedurften. Insgesamt wurden aus diesem Grund zwei Empfehlungen und sieben Anpassungs- resp. Verbesserungsvorschläge erlassen. Ein Grossteil der Schweizer Bevölkerung nimmt täglich am M-CUMULUS-Programm teil. Für jeden Einkauf erhalten die Kunden Bonuspunkte, welche sie später inner- halb der Migros und diversen Migros-Unternehmen wie Bargeld einsetzen können. Im Gegenzug dazu erlauben diese Kunden der Migros, detaillierte Informationen über ihre Einkäufe zu sammeln und für Marketingzwecke auszuwerten. Auch erhalten M- CUMULUS-Teilnehmende, gestützt auf ihre Einkaufsdaten, konkrete Angebote und Informationen aus dem Migros-Sortiment, sofern sie nicht ausdrücklich darauf ver- zichten. Die Durchführung unserer Datenschutzkontrolle war nicht zuletzt aufgrund des grossen Benutzerkreises sowie der Sensibilität der bearbeiteten Personendaten von Bedeutung. Kontrolliert wurden schwerpunktmässig die internen Datenabläufe zwischen M-CU- MULUS und den Migros-Unternehmen (Programm-Trägern) sowie die Datenfl üsse zwischen der Migros und den Programmpartnern. Im Vorfeld der Kontrolle wurden Unterlagen eingeholt und Fragen gestellt. Im Februar 2005 erfolgte dann eine Sach- verhaltsabklärung vor Ort in den Räumlichkeiten von M-CUMULUS sowie der CUMU- LUS-Infoline. Aufgrund der Auswertung der eingereichten Unterlagen und Dokumente sowie gestützt auf die Kontrolle sind wir zu einer positiven Gesamtbeurteilung gelangt. Die im Rahmen von M-CUMULUS vorgenommene Datenbearbeitung verläuft grund- sätzlich datenschutzkonform. Dennoch haben wir zwei Empfehlungen gemäss Art. 29 Abs. 3 DSG und sieben Anpassungs- resp. Verbesserungsvorschläge erlassen.
71 13. Tätigkeitsbericht 2005/ 2006 des EDSB Wir empfehlen, dass
72 13. Tätigkeitsbericht 2005/ 2006 des EDSB 7.2 Kontrolle des Kundenbindungsprogrammes Supercard Coop bietet ihren Kundinnen und Kunden seit Sommer 2000 das Treue- prämienprogramm Supercard an. Im Rahmen unserer Funktion als Da- tenschutzaufsichtsbehörde haben wir die entsprechenden Datenfl üsse einer Kontrolle unterzogen. Es hat sich gezeigt, dass die Datenbearbei- tung grundsätzlich datenschutzkonform erfolgt. Trotz dieser überwie- gend positiven Beurteilung sind wir auch auf Sachverhalte gestossen, welche aus datenschutzrechtlicher Sicht einer Anpassung bedurften. Insgesamt wurden aus diesem Grund drei Empfehlungen und sechs An- passungs- resp. Verbesserungsvorschläge erlassen. Ein Grossteil der Schweizer Bevölkerung nimmt täglich am Supercard-Programm teil. Bei jedem Einkauf können Punkte gesammelt werden, welche später gegen Prämien eingelöst werden können. Im Gegenzug dazu werden von Coop Kundendaten erfasst und zu Marketing- sowie statistischen Zwecken ausgewertet. Mit der Teilnahme am Supercard-Programm gibt ein Kunde seine Einwilligung, dass er persönlich adressierte Werbung von Coop oder ihren Partnerunternehmen erhält, sofern er nicht ausdrück- lich darauf verzichtet. Die Durchführung der Kontrolle war nicht zuletzt aufgrund des grossen Benutzerkreises sowie der Sensibilität der bearbeiteten Personendaten von Bedeutung. Kontrolliert wurden schwerpunktmässig die internen Datenabläufe zwischen Coop Supercard und den Coop-Unternehmen (Programm-Trägern) sowie die Datenfl üsse zwischen Coop Supercard und den Supercard-Programmpartnern. Im Vorfeld der Kon- trolle wurden Unterlagen eingeholt und Fragen gestellt. Im Februar 2005 erfolgte eine Sachverhaltsabklärung vor Ort in den Räumlichkeiten von Coop Supercard. Aufgrund der Auswertung der eingereichten Unterlagen und Dokumente sowie ge- stützt auf die Kontrolle sind wir zu einer positiven Gesamtbeurteilung gelangt. Die Kontrolle hat gezeigt, dass die im Rahmen von Supercard vorgenommene Datenbe- arbeitung grundsätzlich datenschutzkonform verläuft. Dennoch haben wir drei Emp- fehlungen gemäss Art. 29 Abs. 3 DSG und sechs Anpassungs- resp. Verbesserungsvor- schläge erlassen.
73 13. Tätigkeitsbericht 2005/ 2006 des EDSB Wir empfehlen, dass
74 13. Tätigkeitsbericht 2005/ 2006 des EDSB 7.3 Einwilligung in die Verwendung von Kundendaten zu Werbe- zwecken Die Verwendung von Personendaten für das Marketing gegenüber eige- nen Kunden wirft immer wieder Fragen auf und führt bei Betroffenen zuweilen zu Verärgerung. Swisscom Fixnet hat ein Formular geschaf- fen, das ihre Kundinnen und Kunden selektiv wählen lässt, über welche Marketingkanäle sie beworben werden wollen. Besteht zwischen einer Firma und ihren Kunden eine Geschäftsbeziehung und liegt keine anders lautende Willenserklärung seitens des Kunden vor, kann die Firma ihre bisherigen Kunden auf neue Angebote aufmerksam machen. Die Kunden haben je- doch jederzeit das Recht, ausdrücklich zu verlangen, nicht mehr beworben zu wer- den. Der Fernmeldeanbieter Swisscom Fixnet hat im letzten Jahr ein Formular erstellt, das die Kundinnen und Kunden detailliert wählen lässt, ob sie von Swisscom Fixnet Wer- bung per Post, per E-Mail, per Telefon oder per SMS erhalten möchten. Weiter kann kundenspezifi sche Werbung auf den Internetseiten von Swisscom Fixnet und Bluewin gesperrt werden. Ebenfalls untersagt werden können Werbeanrufe mit massgeschnei- derten Angeboten durch den Kundendienst. Schliesslich kann verlangt werden, dass Swisscom Fixnet Informationen zur Carrier Preselection bei anderen Telefongesell- schaften nicht für Marketingzwecke verwendet. Wir begrüssen, dass die Kundinnen und Kunden auf die verschiedenen Marketingka- näle hingewiesen werden und diese anhand eines Formulars detailliert nach den ei- genen Bedürfnissen sperren können. Noch kundenfreundlicher wäre es, wenn das Formular von Zeit zu Zeit der Rechnung beigelegt würde beziehungsweise im Internet herunterladbar wäre und nicht eigens bestellt werden müsste.
75 13. Tätigkeitsbericht 2005/ 2006 des EDSB 8 Finanzen 8.1 Aufsichtstätigkeit im Bereich der Kreditkarten Die Einwilligungsklauseln betreffend Datenbearbeitungen in Kreditkar- tenanträgen geben regelmässig Anlass zu Fragen und Kritik seitens der Bevölkerung. Wir haben deshalb die entsprechenden Formulierungen wichtiger Kartenherausgeber genauer betrachtet und im Hinblick auf die dahinter stehenden Datenbearbeitungen beurteilt. Wir kommen zum Schluss, dass sich diese Klauseln schlimmer lesen als sie eigentlich sind. Mit dem Ziel, die Transparenz in diesem Bereich zu erhöhen, ha- ben wir beschlossen, Standard-Minimalklauseln zu erarbeiten und den Kreditkartenherausgebern zur Verfügung zu stellen. Wir hatten in den Jahren 2003 und 2004 vermehrt Anfragen aus der Bevölkerung erhal- ten, welche sich auf Formulierungen in den Allgemeinen Geschäftsbedingungen (AGB) bzw. in Kreditkartenanträgen bezogen. Die meisten Anfragen betrafen die Klauseln, worin sich der Antragsteller mit mehr oder weniger genau beschriebenen Datenbe- arbeitungen einverstanden erklärt (Einwilligungsklauseln). Verschiedenen betroffenen Personen erschienen die Formulierungen sehr weit gehend und zu wenig transpa- rent. Anfang 2004 haben wir beschlossen, die Einwilligungsklauseln wichtiger Kartenhe- rausgeber zu untersuchen. Geprüft wurden einerseits die Klarheit und Verständlichkeit der Formulierungen bzw. die Frage, inwieweit diese Transparenz schaffen. Anderer- seits war natürlich auch zu fragen, welche Bearbeitungen die untersuchten Einwilli- gungsklauseln abdecken sollen. Die erste – allein auf das Studium der Einwilligungsklauseln gestützte – Beurteilung fi el negativ aus. Denn die betrachteten Formulierungen vermittelten keine klaren Vorstel- lungen von den beabsichtigten Bearbeitungen. Zwar konnten wir mit verschiedenen Herausgebern Verbesserungen von Formulierungen erarbeiten, welche anlässlich der nächsten Revision der AGB in diese einfl iessen werden bzw. schon eingefl ossen sind. Diese Verbesserungen alleine hätten aber nicht genügt, um unsere Beurteilung zu revidieren. Es ist zuzugeben, dass wir nicht in der Lage sind, sämtliche Datenbearbeitungen, wel- che im Kreditkarten-Zahlungssystem stattfi nden, im Detail zu betrachten. Der Grund dafür liegt in der Komplexität dieses Systems, welche sich aus der Vielzahl der betei- ligten Akteure und Infrastrukturelemente sowie aus der Tatsache ergibt, dass dieses Zahlungssystem die gesamte Welt umspannt.
76 13. Tätigkeitsbericht 2005/ 2006 des EDSB Wir haben uns deshalb auf die Datenbearbeitungen konzentriert, welche die Karten- herausgeber im Zusammenhang mit der Ausstellung der Karte einerseits und im Zu- sammenhang mit der Benützung der Karte andererseits durchführen. Die wichtigste Erkenntnis aus unseren Abklärungen betrifft die Menge bzw. Detailliertheit der Daten, welche die Kartenherausgeber pro Transaktion erhalten. Unsere Abklärungen haben ergeben, dass die Details betreffend die konsumierten Produkte und Dienstleistungen in den allermeisten Fällen von Transaktionen nicht an die Kartenherausgeber über- mittelt werden. Dementsprechend können die Kartenherausgeber auf diesen detail- lierten Informationen auch kein Data Mining betreiben. Es hat sich herausgestellt, dass die Kartenherausgeber nur diejenigen Informationen erhalten, welche auf den Rechnungen für die Karteninhaber aufgeführt werden. Konkret bedeutet das, dass ihnen pro Transaktion nebst den Informationen zur Kreditkarte selbst ein Tripel mit den Elementen Datum, Betrag und Verkaufsstelle übermittelt wird. Datenschutzrecht- lich lässt sich feststellen, dass die Datenbekanntgabe von der Akzeptanzstelle an den Kartenherausgeber verhältnismässig ist, weil letztere nur die Daten erhalten, welche zur Erfüllung ihrer Aufgabe im Kreditkartengeschäft geeignet und erforderlich sind. Entsprechend halten wir die Bearbeitungen der Kartenherausgeber, von denen wir im Laufe unserer Abklärungen Kenntnis erhalten haben, für datenschutzrechtlich kor- rekt. Weitere Bearbeitungen, die durch die Einwilligungsklauseln abgedeckt werden sollen, fi nden bei zwei Typen von Datenempfängern statt. Einerseits sind dies Outsourcin- ganbieter, welche im Auftrag des Kartenherausgebers IT-Dienstleistungen erbringen, aber bei der Datenbearbeitung keine eigenen Zwecke verfolgen. Wir gehen aufgrund der Aussagen der Kartenherausgeber – dem Bankensektor zugehörige Unternehmen – davon aus, dass die Kreditkartenherausgeber ihren Outsourcingpartnern die erfor- derlichen vertraglichen Geheimhaltungsverpfl ichtungen überbinden. Andererseits gibt es im Rahmen von so genannten Kartenprogrammen Partnerfi rmen, welche mit den Herausgebern kooperieren. So wird zum Beispiel im Falle von so genannten Bonus- meilen-Programmen nach Aussagen der Herausgeber dem Partner bloss der aggre- gierte Kartenumsatz mitgeteilt, woraus sich die Bonusmeilen errechnen lassen. Da diese Datenbekanntgabe sich auf das Erforderliche beschränkt, kann sie als verhält- nismässig gelten. Mit Bezug auf die Formulierungen in den AGB haben wir in Zusammenarbeit mit Kar- tenherausgebern erste Verbesserungen erzielt. Zudem haben wir untersucht, wie die Transparenz in den AGB erhöht werden könnten. Um sie nicht noch umständlicher werden zu lassen, haben wir beschlossen, nach folgenden Regeln eine Standard-Mi- nimalklausel zu erarbeiten: Erstens muss die Einwilligungsklausel so kurz wie möglich,
77 13. Tätigkeitsbericht 2005/ 2006 des EDSB zweitens für die Karteninhaber leicht verständlich und drittens vollständig sein. Damit diese Randbedingungen eingehalten werden können, enthält die Klausel einerseits diejenigen Elemente nicht, welche durch das Gesetz abgedeckt sind, wie beispiels- weise die Datenbearbeitung im Auftrag (Outsourcing). Andererseits werden auch die- jenigen Elemente entfernt, welche sich von selbst verstehen. Wir werden die Klausel zusammen mit einem erläuternden Bericht den Kartenherausgebern zur Stellungnah- me zustellen und anschliessend veröffentlichen. 8.2 Kreditauskunfteien und Datenschutz Der Sektor Kreditinformation ist eines der Gebiete, zu denen wir jedes Jahr eine grössere Anzahl von Anfragen erhalten. Im Jahr 2005 haben deshalb bei vier wichtigen Unternehmen aus dem Sektor geprüft, auf welche Weise diese den betroffenen Personen ihre Rechte gemäss Bun- desgesetz über den Datenschutz gewähren. Aus verschiedenen Gründen wenden sich Betroffene im Zusammenhang mit Daten- bearbeitungen durch Unternehmen im Bereich Kreditinformation an uns: Sei es, weil sie erstaunt oder gar verärgert darüber sind, dass ein Unternehmen überhaupt Daten über sie bearbeitet, sei es, weil sie der Meinung sind, die vom betreffenden Unterneh- men bearbeiteten Informationen seien unrichtig. Wir haben deshalb beschlossen, bei vier wichtigen Unternehmen im Bereich der Kre- ditinformation bzw. der Wirtschaftsauskunft zu prüfen, in welcher Weise diese die Rechte der betroffenen Personen auf Auskunft, Berichtigung und Löschung gewäh- ren. Diese Unternehmen wurden im Rahmen unserer Sachverhaltsabklärung ange- schrieben und um Unterlagen zur Gewährung der Rechte der betroffenen Personen gebeten. Nach Studium der Unterlagen haben wir auch einen Augenschein vor Ort durchgeführt. Aufgrund der Analyse der erhaltenen Informationen werden wir vier Be- richte erstellen und den betroffenen Unternehmen zugestellen. Die Berichte werden unsere Beurteilung sowie – je nach Resultaten – auch Verbesserungsvorschläge oder Empfehlungen enthalten.
78 13. Tätigkeitsbericht 2005/ 2006 des EDSB 8.3 Übermittlung von Zahlungsdaten an US-amerikanische Behörden Die Übermittlung von Personendaten durch Postfi nance an ein Bank- institut auf amerikanischem Staatsgebiet muss auf einem Rechtferti- gungsgrund beruhen, und die betroffene Person muss angemessen in- formiert werden. Auf unser Einschreiten hin hat Postfi nance ihre Praxis angepasst und Massnahmen vorgeschlagen, die unseren Bemerkungen Rechnung tragen. Ein Kunde erteilte Postfi nance über Yellownet den Auftrag, eine bestimmte Summe in amerikanischen Dollars auf das Konto eines kubanischen Reiseveranstalters bei einer Bank in Zürich zu überweisen. Das Postkonto des Kunden wurde mit dem fraglichen Betrag belastet, die kubanische Firma hat ihn jedoch nicht erhalten. Auf Anfrage des Kunden antwortete ihm Postfi nance, dass seine Überweisung von den US-amerika- nischen Behörden wegen des gegen Kuba verhängten Embargos blockiert werde und dass sich der Betrag auf einem Konto des Finanzministeriums (U.S. Department of Tre- asury) befi nde. Diese Situation erkläre sich dadurch, dass Geschäfte in ausländischen Währungen über ein Bankinstitut im Ausland liefen, in diesem Fall ein US-amerika- nisches Bankinstitut, das der Gesetzgebung der Vereinigten Staaten unterstellt und laut diesen Vorschriften verpfl ichtet sei, sämtliche Finanzgeschäfte mit Verbindung zu Kuba zu melden. Der Kunde wies Postfi nance darauf hin, dass seine Überweisung zwei Finanzinstitute mit Sitz in der Schweiz (Postfi nance und die Bank in Zürich) betreffe und dass auf der Website von Yellownet nirgends erwähnt sei, dass Transaktionen in ausländischen Währungen innerhalb der Schweiz über einen anderen Staat erfolgen könnten. Auf Ersuchen der betroffenen Person haben wir die von Postfi nance im Zusammen- hang mit dieser Angelegenheit vorgenommenen Bearbeitungen von Personendaten analysiert. Das Bundesgesetz über den Datenschutz ist auf die Übermittlung von Per- sonendaten durch Postfi nance an die Bank in den Vereinigten Staaten anwendbar. Spätere Datenweiterleitungen durch diese Bank an die US-amerikanischen Behörden sind dagegen nicht der schweizerischen, sondern der US-Gesetzgebung unterstellt. Postfi nance ist nur zur Übermittlung von Personendaten an die amerikanische Bank befugt, wenn ein Rechtfertigungsgrund vorliegt. Unter einem Rechtfertigungsgrund versteht man die Einwilligung der betroffenen Person, ein überwiegendes öffentliches oder privates Interesse oder ein Gesetz. Im vorliegenden Fall kommen zwei Rechtfer- tigungsgründe in Betracht: die Einwilligung der betroffenen Person oder ein überwie- gendes privates Interesse. Nur eine freiwillig erteilte und aufgeklärte Einwilligung ist
79 13. Tätigkeitsbericht 2005/ 2006 des EDSB indessen auch gültig. So muss die betroffene Person umfassend aufgeklärt sein über die Liste der Daten, die übermittelt werden sollen, und auch darüber, dass sie in einen Staat übermittelt werden, der nicht über eine Datenschutzgesetzgebung verfügt, die derjenigen der Schweiz gleichwertig ist. Die Person muss auch darüber informiert werden, dass der Empfänger der Daten auf Grund der in dem betreffenden Staat gel- tenden Gesetzgebung verpfl ichtet sein könnte, diese Daten an die Behörden auszulie- fern. Abgesehen von der Einwilligung der betroffenen Person kann Postfi nance auch ein überwiegendes privates Interesse an der Übermittlung der für die Erfüllung des mit ihrem Kunden abgeschlossenen Vertrags notwendigen Daten an die Bank geltend machen. Das Erfordernis der Transparenz – das sich aus dem Grundsatz von Treu und Glauben ableiten lässt – erfordert jedoch eine angemessene Information, insbesonde- re wenn die Persönlichkeitsrechte des Betroffenen erheblich gefährdet sein könnten, weil kein dem in der Schweiz garantierten System gleichwertiger Datenschutz vorhan- den ist. Im vorliegenden Fall haben wir festgestellt, dass die Information nicht ausrei- chend war. Überdies muss für regelmässige Übermittlungen an einen Empfänger in einem Staat ohne gleichwertige Gesetzgebung der Lieferant der Personendaten mit- tels eines Vertrags mit dem Empfänger ein Datenschutzniveau garantieren, das dem nach der schweizerischen Gesetzgebung gewährleisteten Schutz gleichwertig ist. Auf Grund der Ergebnisse unserer Analyse haben wir Postfi nance ersucht, die betrof- fenen Personen sachgemäss zu informieren und über einen Vertrag mit dem Empfän- ger sicherzustellen, dass die übermittelten Daten in angemessener Weise bearbeitet werden. Als Antwort auf unsere Aufforderung schlug Postfi nance Massnahmen vor, die unseren Bemerkungen Rechnung tragen. Postfi nance übermittelt der Bankverbin- dung im Ausland lediglich den Betrag der Transaktion, den Namen und die Kontonum- mer der Empfängerbank in der Schweiz sowie eine Referenznummer. Wird eine Trans- aktion gesperrt, greift Postfi nance bei den ausländischen Behörden ein, sobald sie von der betroffenen Person eine Vollmacht erhalten hat. Zur Information der Betroffenen wird Postfi nance im Rahmen der nächsten Anpassungen bei den allgemeinen Ge- schäftsbedingungen die Datenschutzklausel ändern.
80 13. Tätigkeitsbericht 2005/ 2006 des EDSB 9. International 9.1 Europäische Union 9.1.1 Die Umsetzung des Assoziierungsabkommens mit dem Schengener System Die verschiedenen in den Ausschüssen und Arbeitsgruppen auf euro- päischer Ebene erörterten Entwürfe betreffend das Schengener Infor- mationssystem der zweiten Generation (SIS II) werden Auswirkungen auf die Ausführungsbestimmungen in der Schweiz haben. Wir nehmen zu diesen Fragen im Rahmen der Ämterkonsultation Stellung. Wir be- teiligen uns auch an den Sitzungen der gemäss Artikel 29 der Richtlinie 95/46/EG eingesetzten Gruppe für den Schutz von Personen bei der Ver- arbeitung personenbezogener Daten und denjenigen der gemeinsamen Kontrollstelle des SIS. Die Umsetzung des Abkommens über die Assoziierung mit Schengen hat die Anpas- sung mehrerer Bundesgesetze, insbesondere des Strafgesetzbuchs, erforderlich ge- macht. Auch einige Verordnungen müssen angepasst werden (z.B. die Verordnung über das automatisierte Fahndungssystem und die Verordnung über das informati- sierte Personennachweis-, Aktennachweis- und Verwaltungssystem des Bundes- amtes für Polizei), während andere noch auszuarbeiten sind (z.B. Verordnungen über das nationale SIS und das Büro SIRENE). Die Schweiz wird ab 2008 dem an die Stelle des heutigen Systems tretenden SIS II angeschlossen werden. Die europäische Kommission hat einen Verordnungsentwurf des europäischen Parlaments und des Rates über die Einrichtung, den Betrieb und die Nutzung des SIS II in den zur ersten Säule gehörenden Bereichen (Personenbeschrei- bungen von Drittstaatsangehörigen zum Zwecke der Nicht-Aufnahme) vorgelegt. Die europäische Kommission hat auch einen ähnlichen Entwurf für einen Beschluss des Rates für die zur dritten Säule gehörenden Bereiche vorgelegt (Beschreibungen von Personen, die zum Zwecke der Verhaftung und Übergabe oder zu Auslieferungszwe- cken gesucht werden, Personenbeschreibungen zum Zwecke des Schutzes oder der Verhinderung von Gefährdungen, Beschreibungen von Personen die im Rahmen von G erichtsverfahren gesucht werden, Beschreibungen von Personen und Gegenstän- den zum Zwecke einer diskreten Überwachung oder einer spezifi schen Kontrolle und Beschreibungen von Gegenständen zum Zwecke einer Beschlagnahme oder der Be- weiserhebung in einem Strafverfahren). In Sachen Datenschutz ist vorgesehen, dass
81 13. Tätigkeitsbericht 2005/ 2006 des EDSB die zur ersten Säule gehörenden Bereiche der Richtlinie 95/46/EG zum Schutz natür- licher Personen bei der Verarbeitung personenbezogener Daten und zum freien Da- tenverkehr unterstellt werden, während die der dritten Säule zugeordneten Bereiche durch die Bestimmungen zur Umsetzung des Rahmenbeschlusses des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zu- sammenarbeit in Strafsachen verarbeitet werden (zur Zeit noch im Entwurfsstadium), geregelt werden sollen. Sämtliche vorstehend erwähnten Entwürfe werden derzeit von den verschiedenen für das SIS II zuständigen Ausschüssen und Arbeitsgruppen behandelt. Das Resultat dieser Arbeiten wird Auswirkungen auf die Ausführungsbe- stimmungen in der Schweiz haben, namentlich im Bereich des Datenschutzes. Wir haben im Rahmen des Ämterkonsultationsverfahrens bereits zu mehreren dieser Fra- gen Stellung bezogen. Wenn die gemäss Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten Fragen betreffend Schengen erörtert, vertreten der EDSB und ein kantonaler Daten- schutzbeauftragter die Schweiz als Beobachter. Als unabhängige nationale Kontroll- stelle für den Datenschutz beteiligen wir uns auch mit zwei Vertretern (einem Mitglied unseres ständigen Sekretariats und einem Vertreter der kantonalen Datenschutzbe- auftragten) an den Arbeiten der gemeinschaftlichen Kontrollstelle. 9.1.2 Europäische Konferenz der Datenschutzbeauftragten Die europäischen Datenschutzbeauftragten tagten auf Einladung des polnischen Generalinspektors für den Schutz von Personendaten am 25. und 26. April 2005 in Krakau. Die Datenschutzbeauftragten verab- schiedeten eine Erklärung, in der sie die Annahme von Gesetzesbe- stimmungen über die Datenverarbeitung im Rahmen der polizeilichen und justiziellen Zusammenarbeit innerhalb der Europäischen Union befürworten. Die europäischen Datenschutzbeauftragten tagten aus- serdem am 16. September 2005 in Montreux und am 24. Januar 2006 in Brüssel. Anlässlich ihrer Konferenz in Brüssel verabschiedeten sie eine Stellungnahme zum Entwurf eines Rahmenbeschlusses des Rates der Europäischen Union im Bereich der polizeilichen und justiziellen Zusammenarbeit. Unter polnischem Vorsitz versammelten sich an der Konferenz die Datenschutzbeauf- tragten der Mitgliedstaaten der Europäischen Union und der übrigen europäischen Länder, welche das Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten ( Konvention 108) ratifi -
82 13. Tätigkeitsbericht 2005/ 2006 des EDSB ziert haben. Ebenfalls an den Arbeiten teilgenommen haben der europäische Da- tenschutzbeauftragte, Vertreter der europäischen Kommission und des Europarates sowie die gemeinschaftlichen Kontrollstellen von Europol, Schengen und Eurojust. Hauptthema der Konferenz in Krakau war das 10-jährige Bestehen der europäischen Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personen- bezogener Daten und zum freien Datenverkehr. Die Datenschutzbeauftragten hatten so die Gelegenheit, eine erste Bilanz der Durchführung der Richtlinie im Lichte der einzelstaatlichen Erfahrungen und der Rechtsprechung des Europäischen Gerichts- hofs in Luxemburg zu ziehen. Sie untersuchten auch den Einfl uss der Richtlinie auf das Schutzniveau in den Ländern der Europäischen Union und in Drittländern. Bei dieser Gelegenheit legten wir die Konsequenzen der europäischen Richtlinie für die Schweiz dar. Wir erinnerten insbesondere daran, dass die schweizerische Gesetzgebung der europäischen Regelung ähnlich ist und sich ebenfalls auf die Konvention 108 abstützt. Die Schweiz kann sich diesbezüglich auf eine Entscheidung der europäischen Kom- mission vom 26. Juli 2000 berufen, die dem schweizerischen Recht ein angemessenes Schutzniveau bescheinigt. Eine erste Beurteilung im Jahr 2004 gelangt zu dem Schluss, dass das schweizerische Datenschutzsystem weiterhin ein angemessenes Schutzni- veau bietet. Wir betonten überdies, dass die europäische Richtlinie die Entwicklung unseres internen Rechts beeinfl usst und dass sie – wenn auch nur teilweise – in der sektoriellen Gesetzgebung (eine Folge der bilateralen Abkommen) sowie im allgemei- nen Datenschutzgesetz ihren Niederschlag fi nden wird. Ausserdem wiesen wir darauf hin, dass die Entscheidungen der Kommission und die Stellungnahmen der Gruppe nach Artikel 29 ebenfalls eine wichtige Rolle bei der Durchführung des Datenschutzes in der Schweiz spielen. Die Datenschutzbeauftragten erörterten sodann die neuen Instrumente, welche die Übermittlung von Personendaten an Drittländer ermöglichen, und insbesondere die zwingenden Unternehmensvorschriften. Sie sprachen über die Wichtigkeit der Sensi- bilisierung und Bildungsarbeit im Bereich des Datenschutzes. Im Weiteren tauschten sie Informationen und Erfahrungen mit dem Einsatz von Datenschutzberatern in Un- ternehmen und öffentlichen Organisationen aus. Die Einrichtung einer solchen Bera- tung wird von allen Ländern, in denen sie bekannt ist, als sehr positiv beurteilt. Die Datenschutzbeauftragten befassten sich ausserdem mit gewissen Fragen betreffend die Wahrnehmung des Auskunftsrechts durch die betroffenen Personen. Schliesslich behandelten die europäischen Datenschutzbeauftragten Probleme des Datenschutzes im Bereich der 3. Säule der Europäischen Union. Dabei verab- schiedeten sie eine Stellungnahme und eine Erklärung zum Informationsaustausch im Rahmen der Strafverfolgung (http://www.edps.eu.int/legislation/05-04-26_kra-
83 13. Tätigkeitsbericht 2005/ 2006 des EDSB kow_pp_law_enforcement_EN.pdf). Unter Anerkennung der Notwendigkeit eines Informationsaustausches zwischen den Staaten zur Bekämpfung von Kriminalität und Terrorismus forderten die Datenschutzbeauftragten die Annahme einer Daten- schutzregelung für den Sektor der polizeilichen und justiziellen Zusammenarbeit (3. Säule). Diese Regelung sollte nicht nur die in der europäischen Richtlinie defi nierten Grundsätze aufgreifen, sondern auch neue Vorschriften aufstellen, welche den Beson- derheiten der Strafverfolgung Rechnung tragen. Die Datenschutzbeauftragten legten damit den Rahmen fest, der bei der Ausarbeitung einer solchen Regelung zu berück- sichtigten wäre. Bei ihrer Konferenz am 24. Januar 2006 in Brüssel prüften die europäischen Daten- schutzbeauftragten den Entwurf für einen Rahmenbeschluss des Rates der Europä- ischen Union über den Schutz personenbezogener Daten, die im Rahmen der po- lizeilichen und justiziellen Zusammenarbeit in Strafsachen bearbeitet werden, und verabschiedeten dazu eine Stellungnahme. Sie begrüssten die Annahme eines Rah- menbeschlusses für den Datenschutz im Bereich der polizeilichen und justiziellen Zusammenarbeit. In mehreren Punkten schlugen sie jedoch eine Änderung des von der europäischen Kommission vorgelegten Entwurfs vor, um den Datenschutz zu ver- stärken und eine bessere Kohärenz zwischen den verschiedenen vorhandenen In- strumenten sicherzustellen. Die Datenschutzbeauftragten schlugen insbesondere vor, den Beschluss nicht auf den Austausch von Personendaten zu beschränken, sondern damit die Gesamtheit der Bearbeitungen von Personendaten im Rahmen der 3. Säule, einschliesslich der justiziellen Zusammenarbeit, zu erfassen. Sie betonten, dass es für die in Anwendung der Richtlinie 95/46/EG bearbeiteten und die von der 3. Säule be- troffenen Daten einen gleichwertigen Schutz geben sollte. Dieser Entwurf eines Rah- menbeschlusses gehört zum Schengen-Besitzstand und wird nach seiner Annahme auch für die Schweiz gelten. Er wird interne Anpassungen auf Bundes- und Kantonse- bene erfordern. Im Besonderen wird die Zweckmässigkeit einer Harmonisierung der nationalen Datenschutzvorschriften zu prüfen sein. In diesem Kontext ist eine Umset- zung des europäischen Rechts im Bundesgesetz über Datenschutz wünschenswert.
84 13. Tätigkeitsbericht 2005/ 2006 des EDSB 9.2 Weitere Themen 9.2.1 Internationale Konferenz der Datenschutzbeauftragten Die 27. Internationale Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre fand vom 14. bis 16. September 2005 in Montreux statt. An dieser vom EDSB organisierten Tagung kamen die Datenschutzbehörden aus rund 40 Ländern der ganzen Welt zusammen. Sie endete mit der Annahme einer Erklärung, mit der die Universali- tät der Datenschutzprinzipien untermauert werden sollte. Die europä- ischen Datenschutzbeauftragten verabschiedeten auch eine Resolu- tion zur Verwendung von biometrischen Daten in Pässen, Identitätskar- ten und Reisedokumenten sowie eine Resolution zur Verwendung von Personendaten für die politische Kommunikation. Auf Einladung des Eidgenössischen Datenschutzbeauftragten fand die 27. Internatio- nale Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphä- re vom 14. bis 16. September 2005 in Montreux statt. Zu dieser Konferenz, die zum ersten Mal in der Schweiz veranstaltet wurde, kamen rund 350 Teilnehmerinnen und Teilnehmer aus der ganzen Welt zusammen. Unter dem Thema «Der Schutz von Per- sonendaten und der Privatsphäre in einer globalisierten Welt: ein universelles Recht unter Achtung der Verschiedenheiten» erörterten die Verantwortlichen aus Kreisen der Wirtschaft, der Wissenschaft und der Politik sowie Vertreter der zwischenstaatli- chen und nichtstaatlichen internationalen Organisationen zusammen mit den Da- tenschutzbeauftragten die Bedeutung des Rechts auf Datenschutz in der heutigen Welt. Im Verlauf der drei Plenarversammlungen und der zwölf Parallelsitzungen (vgl. www.privacyconference2005.org, s. auch Datum 01/2005, www.edsb.ch), hatten die Referenten Gelegenheit, auf die verschiedenen Aspekte des Datenschutzrechts und auf die Frage einzugehen, wie dieses Recht angesichts der politischen, sozioökono- mischen und technischen Gegebenheiten wirksamer durchgesetzt werden kann. Im Besonderen waren folgende Themen Gegenstand einer Debatte: Eine Analyse der zum Schutz von Personen bei der Bearbeitung von Personendaten eingerichteten recht- lichen und technischen Mechanismen; die Verwendung von genetischen Daten zu Forschungszwecken; die Herausforderungen in der Terrorismusbekämpfung; die Rolle der Privatunternehmen bei der Erfüllung öffentlicher Aufgaben; die polizeiliche Zu- sammenarbeit im föderalen Staat; der Beitrag der internationalen Organisationen für die Achtung des Datenschutzrechts; das politische Marketing. Die Konferenzteilneh-
85 13. Tätigkeitsbericht 2005/ 2006 des EDSB mer befassten sich mit Überlegungen zur Erheblichkeit der Datenschutzgrundsätze im Zusammenhang mit dem Internet und der Entwicklung invasiver Technologien (RFID), zur Wirksamkeit der Überwachung im Bereich des Datenschutzes und zur Bedeutung der Selbstregulierung. Mehrere Redner erinnerten daran, dass der Datenschutz eines der unantastbaren Ele- mente einer funktionierenden, modernen demokratischen Gesellschaft ist. Er muss sich jedoch den Herausforderungen der Globalisierung unserer Gesellschaften und der Entwicklung der Informationstechnologien stellen. Dank der Technologie können Informationen rasch und in Echtzeit bearbeitet, oft ohne Wissen der betroffenen Per- sonen gesammelt, ungeachtet irgendwelcher Grenzen verbreitet und ausserhalb des Kontexts, in dem sie erhoben wurden, verwendet werden. Die Informationen können verschiedenen rechtlichen Datenschutzsystemen unterstellt sein oder sich auch jegli- chen Schutzmechanismen entziehen. Ein und dieselbe Bearbeitung kann in verschie- denen Staaten Gegenstand unterschiedlicher Melde- oder Kontrollverfahren sein. Sie kann durch allzu einschränkende Vorschriften oder durch die fehlende Bereitwilligkeit mancher Beteiligter behindert werden. Die betroffenen Personen können ihre Rechte wegen der Verbreitung der Daten an verschiedenen Orten auf der Welt nicht – oder nur schwer – geltend machen. Der heutige geopolitische Kontext, der Kampf gegen den Terrorismus, das Internet, die Biometrie, die Entwicklung invasiver Technologien oder die Entstehung von Biobanken – die den Begehrlichkeiten verschiedener Wirt- schaftssektoren ausgesetzt sind – verstärken noch die Bedeutung einer Verteidigung der Rechte und Grundfreiheiten bei der Bearbeitung von Personendaten. Auf Grund einer gewissen Banalisierung des Konzepts der Privatsphäre und einer Relativierung der Datenschutzerfordernisse macht sich indessen die Gefahr einer Schwächung des Datenschutzes bemerkbar. Dieses Risiko ist auch die Folge von allzu grossen Unter- schieden zwischen den geltenden Rechtssystemen oder einer allzu grossen Streuung und Vielfalt der Datenschutzbestimmungen. Es ist auch ein Ungleichgewicht in der Abwägung der vorhandenen Interessen fest- zustellen, was sich zu Lasten des Schutzes der Rechte und Grundfreiheiten auswirkt. Eine demokratische Gesellschaft kann aber nur funktionieren, wenn dem Staat und den Privatpersonen Grenzen bei der Bearbeitung von Personendaten gesetzt werden. Es besteht ein öffentliches Interesse daran, dass die Staaten unabhängig von einem Antrag der Betroffenen einen ausreichenden Datenschutz gewährleisten. Wie Profes- sor Bertil Cottier betonte, ist angesichts der beträchtlichen Zunahme des internationa- len Warenaustausches und der steigenden Mobilität der Personen, Dienstleistungen und Güter für den Datenschutz – wie für jeden anderen Rechtsbereich - eine gewisse Vereinheitlichung unvermeidlich. Eine Vereinfachung und Harmonisierung der beste-
86 13. Tätigkeitsbericht 2005/ 2006 des EDSB henden Vorschriften und Verfahren ist notwendig. Es gilt auch Instrumente zu entwi- ckeln, welche die Achtung der Rechte der Bürgerinnen und Bürger auf der ganzen Welt sicherstellen, und gleichzeitig den öffentlichen und privaten Einrichtungen die Wahrnehmung ihrer legitimen Aufgaben ermöglichen: Nutzung neuer Technologien, welche die Achtung der Privatsphäre gewährleisten, Förderung der Selbstregulierung und Programme für eine Sensibilisierung und Bildungsarbeit im Bereich des Daten- schutzes. Gestützt auf diese Feststellungen und im Anschluss an eine Initiative des EDSB ver- abschiedeten die Datenschutzbeauftragten einstimmig eine Schlusserklärung (siehe Anhang 11.2). Ziel der Erklärung von Montreux ist es, die Anerkennung der Universa- lität der Datenschutzgrundsätze zu fördern. In der Überzeugung, dass das Recht auf Datenschutz und auf Schutz der Privatsphäre in einer demokratischen Gesellschaft eine unabdingbare Voraussetzung ist für die Gewährleistung der Achtung der Persön- lichkeitsrechte, des freien Informationsverkehrs und einer offenen Marktwirtschaft, dass es sich um ein grundlegendes Persönlichkeitsrecht handelt, und dass dessen universelle Geltung verstärkt werden muss, fordern die Datenschutzbeauftragten die Ausarbeitung eines universellen Datenschutzübereinkommens. Zu diesem Zweck ver- pfl ichten sie sich zu einer Zusammenarbeit mit den Regierungen und den internatio- nalen und supranationalen Organisationen. Der Aufruf der Datenschutzbeauftragten richtet sich insbesondere an:
87 13. Tätigkeitsbericht 2005/ 2006 des EDSB
88 13. Tätigkeitsbericht 2005/ 2006 des EDSB 10 Der Eidgenössische Datenschutzbeauftragte 10.1 Publikationen des EDSB – Neuerscheinungen Wir wurden wiederholt auf mögliche Datenschutzrisiken im Zusammenhang mit so genannten «Webbugs» aufmerksam gemacht und analysierten daraufhin die Proble- matik näher. Betrachtet wurden einerseits die auf Internetseiten eingesetzten Web- bugs, andererseits personalisierte elektronische Newsletter. Wir haben dazu von Fir- men, die diese Techniken benutzen, Informationen eingeholt und eigene Abklärungen im Internet vorgenommen. Die Ergebnisse unserer Untersuchung sind im Anhang 11.6 des vorliegenden Tätig- keitsberichts sowie auf unserer Website www.edsb.ch zu fi nden. 10.2 Neulancierung des EDSB-Newsletters Im Dezember 2005 haben wir nach über zweijährigem Unterbruch den neuen Newsletter datum publiziert. datum wird von nun an zweimal jährlich erscheinen und richtet sich an ein breites Publikum, das sich für Datenschutzbelange interessiert, ohne unbedingt über entspre- chende Fachkenntnisse zu verfügen. Im März 2003 erschien unser letzter Newsletter. Während des vergangenen Tätigkeits- jahrs haben wir das Konzept einer Prüfung unterzogen und für die Neulancierung leicht angepasst. Ziel der Publikation ist es, die Anliegen des Datenschutzes einer breiten Öffentlichkeit bekannt zu machen und die Menschen für den Umgang mit den eigenen Daten zu sensibilisieren. Denn Bürgerinnen und Bürger werden täglich mit Fragen des Datenschutzes konfron- tiert – und das keineswegs nur im Angesicht der wachsenden Anzahl Videokameras, mit denen Plätze, öffentliche Verkehrsmittel, Bahnhofshallen und Geschäfte über- wacht werden. Die rasante Entwicklung der Kommunikationstechnologien ebenso wie die in der ganzen westlichen Welt immer zahlreicheren Antiterrormassnahmen ge- fährden grundlegende Persönlichkeitsrechte. Gleichzeitig ist das Bewusstsein für den Schutz der eigenen Daten und Persönlichkeit unterschiedlich weit entwickelt. datum wird einerseits über Datenschutzbelange informieren, die Bürgerinnen und Bürger direkt betreffen, und Fragen von allgemeinem Interesse behandeln und ver- ständlich beantworten. Anderseits werden wir konkrete Tipps für datenschutzkon- formes Verhalten im Alltag geben. Denn jedes Individuum kann und muss auch ohne Fachkenntnisse im täglichen Leben ein Stück weit Datenschutz betreiben: beim Surfen
89 13. Tätigkeitsbericht 2005/ 2006 des EDSB im Internet, bei der Bekanntgabe von Email-Adressen oder anderen persönlichen Da- ten in Geschäften und bei Wettbewerben, oder bei der Benutzung der Bluetooth- resp. Wireless-LAN-Funktionen von Mobiltelefonen und Laptops. In der Rubrik «Themen» werden jeweils in längeren Artikeln aktuelle Inhalte erörtert und erklärt. Die weiteren Rubriken behandeln datenschutzrelevante Neuentwick- lungen aus den Bereichen Technik und Software («Kurz beleuchtet»), interessante Ar- tikel oder Ausschnitte «aus der Presse» und «Tipps» für den datenschutzkonformen Alltag. Unter «Agenda» wird über wichtige Termine des EDSB informiert, und die Rubrik «Update» weist auf Neuigkeiten auf der EDSB-Website hin. datum erscheint in der Regel im März und Oktober und kann auf der Website des EDSB unter Publikationen/Newsletter gelesen und im PDF-Format ausgedruckt werden. Wer sich in der Mailingliste des EDSB einträgt (www.edsb.ch), erhält zudem Informationen, wenn neue Dokumente auf der Website aufgeschaltet werden. Das nächste datum wird voraussichtlich im Oktober 2006 erscheinen. 10.3 Online-Erfassung und -Abfrage der beim EDSB angemeldeten Datensammlungen. Die neue Webapplikation für die Verwaltung und Abfrage des Registers der beim EDSB angemeldeten Datensammlungen ist in der Ausfüh- rungsphase. Dank eines vereinfachten und dreisprachigen Anmeldefor- mulars werden die Bundesorgane ihre Anmeldungen elektronisch und autonom verwalten können. Diese werden nach der Freigabe durch den EDSB für die Öffentlichkeit über ein von unserer Website aus ab- rufbares Such- und Druckmodul verfügbar sein. Laut Gesetz hat der EDSB ein Register der meldepfl ichtigen Datensammlungen zu führen und der Öffentlichkeit zur Verfügung zu stellen. Derzeit werden die Melde- formulare von Hand ausgefüllt; die Informationen werden sodann bei uns in einer lokalen Datenbank erfasst und anschliessend in Heften veröffentlicht, die für die Bun- desverwaltung nach Departementen und für Privatpersonen nach Tätigkeitsbereichen unterteilt sind. Es hat sich jedoch gezeigt, dass die Erfassung mühselig ist und die Hefte schwer nachzuführen sind. Überdies wird im Revisionsentwurf zum DSG die Führung eines über Internet zugänglichen Datensammlungsregisters verlangt (neuer Artikel 11a). Somit war es an der Zeit, die Form der Anmeldung von Datensammlungen und der Abfrage im Register zu überarbeiten.
90 13. Tätigkeitsbericht 2005/ 2006 des EDSB Für die Entwicklung eines neuen Programms wurde ein Ausschreibungsverfah- ren eingeleitet. Die Spezifi kationen enthielten namentlich folgende Anforderungen: vollumfängliche Übernahme der vorhandenen Daten, vollständiger Support der drei offi ziellen Landessprachen, ein Formular für die elektronische Erfassung der Da- tensammlungen (Webbrowser) durch die verschiedenen verantwortlichen Bundesor- gane, Bestätigung und Online-Aufschaltung der Anmeldungen durch den EDSB, und eine öffentliche Multikriterien-Suchmaske, mit der das Anzeigen und Ausdrucken von Daten betreffend die jeweiligen Datensammlungen ermöglicht werden. Innerhalb der festgelegten Frist sind mehrere Offerten eingegangen, welche sämtliche oder einen Teil dieser Anforderungen erfüllen. Der Partner mit dem besten Preis-Leistungsverhält- nis wurde daraufhin für die Realisierung dieses neuen Programms ausgewählt. Nach Empfang und Übernahme des neuen Programms werden wir es zunächst den für die Anmeldung und Nachführung der Datensammlungen verantwortlichen Bun- desorganen (in den meisten Fällen den Datenschutzberatern der Ämter) zur Verfügung stellen und den Privatpersonen neue, vereinfachte dreisprachige Formulare zur Verfü- gung stellen. Längerfristig könnten auch Privatpersonen über eine Online-Lösung für die Anmeldung verfügen. Nach einer Phase der Konsolidierung der vorhandenen Da- ten und der Beseitigung allfälliger Anfangsschwierigkeiten mit dem neuen Programm werden wir schliesslich der Öffentlichkeit die Möglichkeit bieten, das Register der Da- tensammlungen – auf einfache und benutzerfreundliche Weise – online einzusehen. Die verschiedenen Funktionalitäten dieser neuen Dienstleistung werden schrittweise auf unserer Website www.edsb.ch beschrieben.
91 13. Tätigkeitsbericht 2005/ 2006 des EDSB 10.4 Statistik über die Tätigkeit des Eidgenössischen Datenschutzbeauftragten vom 1. April 2005 bis 31. März 2006 Aufwand nach Aufgabengebiet
92 13. Tätigkeitsbericht 2005/ 2006 des EDSB Aufwand nach Sachgebiet
93 13. Tätigkeitsbericht 2005/ 2006 des EDSB Herkunft der Anfragen
94 13. Tätigkeitsbericht 2005/ 2006 des EDSB 10.5 Das Sekretariat des EDSB Eidgenössischer Datenschutzbeauftragter: Thür Hanspeter, Fürsprecher Stellvertreter: Walter Jean-Philippe, Dr. iur. Sekretariat: Leiter: Walter Jean-Philippe, Dr. iur. Stellvertreter: Buntschu Marc, lic. iur. Einheit Beratung und Information: 8 Personen Einheit Aufsicht: 10 Personen Kanzlei: 3 Personen
95 13. Tätigkeitsbericht 2005/ 2006 des EDSB 11 Anhänge 11.1. Mustervertrag für das Outsourcing von Datenbearbeitungen ins Ausland Swiss Transborder Data Flow Agreement (for outsourcing of data processing) by and between [Firma], [Adresse] (hereinafter Data Exporter and [Firma], [Adresse] (hereinafter Data Importer)
This Agreement applies to all Personal Data relating to third parties that is (i) transferred (which shall include making it available for access) from the Data Exporter to the Data Importer; or (ii) processed by the Data Importer on behalf of the Data Exporter. 1 Words or sentences in square brackets are optional.
96 13. Tätigkeitsbericht 2005/ 2006 des EDSB (iii) The catalogue [and classifi cation of sensitivity] of the Personal Data to be transferred and|or processed is found in Section 1 of Annex 1 to this Agreement. The intended purposes of the transfer to, and processing by, the Data Importer are described in Section 2 of Annex 1 to this Agreement. Annex 1 may be amended by the Data Exporter from time to time. Unless defi ned otherwise herein, all terms shall have the same meaning as defi ned in the Swiss Federal Data Protection Act (DPA). Any reference to the DPA shall always also include a reference to the Ordinance to the DPA (the DPAO) and any other provision of the substantive Swiss data protection law. 2. Obligations of the Data Exporter The Data Exporter warrants that the Personal Data to be transferred has been coll- ected and processed in accordance with the requirements of the DPA. The Data Ex- porter further warrants that the transfer of the Personal Data and the processing of such data by the Data Importer as set forth in this Agreement is admissible under the DPA and the Data Exporter undertakes that the transfer is made in accordance with the DPA. [Particularly, the Data Exporter warrants that (i) prior to any transfer of Personal Data, it has informed the Persons Affected or has complied with any notifi cation and|or registration obligations set forth by the DPA; (ii) the intended purposes of the transfer and processing have been communi- cated to the Persons Affected upon the collection of the Personal Data, were apparent based on the circumstances, are provided for by statutory law, or refl ect a preponderant interest pursuant to Art. 13 para. 2 DPA; (iii) the tr ansfer to, and processing by, the Data Importer pursuant to this Agreement is not prohibited by a statutory or contractual duty of confi - dentiality; and (iv) it will not require the Data Importer to undertake a processing of Personal Data that the Data Exporter would not be permitted to carry out itself.] The Data Exporter shall verify that the technical and organizational measures un- dertaken by the Data Importer are suffi cient to protect the transferred Personal Data from any unauthorized processing as required by the DPA. [The Data Exporter warrants that the technical and organizational measures set forth in Annex 2 to this Agreement are suffi cient in this regard.]
97 13. Tätigkeitsbericht 2005/ 2006 des EDSB 3. Obligations of the Data Importer The Data Importer undertakes and warrants that it will process any and all Personal Data received from or made available by the Data Exporter or derived from such data (i) solely on behalf and solely for the purposes of the Data Exporter as set forth in Section 2 of Annex 1 or as otherwise expressly provided for by the Data Exporter or agreement with the Data Exporter; (ii) in accordance with the instructions of the Data Exporter [(which may be given by any means, including e-mail)]; and (iii) in compliance with this Agreement. The Data Importer undertakes, prior to any processing, appropriate technical and organizational measures as defi ned by the DPA (particularly Art. 7 para. 1 DPA and Art. 8 et seq. DPAO) [and as set forth in Annex 2 to this Agreement] to protect the transferred Personal Data from unauthorized processing, including any processing not expressly authorized by this Agreement and including accidental loss or de- struction of, or damage to, such Personal Data. The Data Importer will promptly inform, and cooperate with, the Data Exporter (i) if it believes that it may no longer be able, or no longer is able, to comply with this Agreement, particularly in case it receives or must reasonably expect to receive a request or order of a competent authority requiring it to disclose, or refrain from further processing, some or all Personal Data to which this Agreement applies; or (ii) if any accidental or unauthorized access has occurred. The Data Importer will not delegate or subcontract the processing of Personal Data without the consent of the Data Exporter, which consent shall not be unreasonably withheld or delayed. [No consent shall be given if (i) Personal Data or the proces- sing of such Personal Data is to be transferred to an operation in a third country or to a third party (including an affi liate) which is not subject to substantially similar obligations as the Data Importer under this Agreement, or (ii) the enforcement of the present Agreement by the Data Exporter cannot be reasonably ensured.] [The Data Exporter has the right to, at any time, in any reasonable manner and wi th the Data Importer‘s full cooperation, audit the Data Importer‘s (and any subcontractor‘s) compliance with the Agreement or to have such audit performed by a qualifi ed third party bound by a duty of confi dentiality. The costs will be borne by the Data Exporter; if any non-compliance is revealed which may be of signifi can- ce for Persons Affected, the Data Importer shall bear the costs.]
98 13. Tätigkeitsbericht 2005/ 2006 des EDSB 4. Rights of Persons Affected The Data Exporter is responsible that the Persons Affected are provided with their right of information (right of access), correction, blocking, suppression or deletion, as available under the DPA. The Data Importer will fully and without delay coo- perate with the Data Exporter in, and provide to the Data Exporter the necessary services for, fulfi lling such requests or inquiries of Persons Affected. [The Data Im- porter will immediately forward to the Data Exporter any requests or inquiries it directly receives without responding them on the merits.] 5. Term and Termination This Agreement shall be binding between the parties upon execution by both par- ties and shall remain in place for an indefi nite period of time. [It shall terminate automatically upon the termination of the services provided by the Data Importer and for which this Agreement was entered into.] Each party may [also] terminate this Agreement at any time with immediate effect by providing a written notice[; unless agreed otherwise, Art. 404 para. 2 Code of Obligations (damages in case of a termination at an improper time) applies if such termination is not for cause]. The Data Exporter may also suspend the transfer of Personal Data and|or its processing at any time. Upon termination of this Agreement for whatever reason, the Data Importer shall, (i) immediately return any Personal Data to which this Agreement applies, inclu- ding the Personal Data transferred by the Data Exporter; and, to the extent this is not possible, (ii) destroy such Personal Data and copies thereof, and certify to Data Exporter in writing that it has done so; unless legislation imposed upon the Data Importer prevents it from returning or destroying all or parts of the Personal Data, in which case the Data Importer in- forms Data Exporter and undertakes to keep such Personal Data confi dential and not actively process it.
99 13. Tätigkeitsbericht 2005/ 2006 des EDSB 6. Miscellaneous Each party will provide any court or supervisory agency, and the Data Exporter will provide any Person Affected, a copy or the content of this Agreement upon its request or if required by law. [Annex 2 to this Agreement shall be summarized to the extent admissible by law and necessary for security reasons.] [In case of a production request by a Person Affected, the Data Exporter may summarize any part of this Agreement (including its Annexes) to the extent necessary for confi den- tiality and data protection reasons.] [The rights and obligations of each party to this Agreement are without prejudice and notwithstanding to any other rights and obligations the parties may or may not have under other agreements. This Agreement does not regulate the conse- quences that the execution of a right and performance of an obligation under this Agreement may have under another relationship among the parties.] [Each party will indemnify the other party in case of claims of third-parties or other damages which result from fi rst-mentioned party‘s negligent or intentional failure to comply with this Agreement. Persons Affected may raise damages and other claims pursuant to the DPA relating to the transfer and|or processing of their Per- sonal Data under this Agreement against either party.] This Agreement may only be modifi ed in writing. [The parties shall not assign this Agreement or any rights or obligations hereunder to any third party without the prior written consent of the other party.] This Agreement shall be governed by and construed in accordance with the sub- stantive laws of Switzerland. Any dispute arising out of or in connection with this Agreement or breach thereof, shall be exclusively settled by the ordinary courts at the seat of the Data Exporter in Switzerland. [In addition, each party shall be entitled to request any other competent court to order interim or provisional measures of any kind.] Place, Date: For the Data Exporter: For the Data Importer
[Name], [Function] [Name], [Function] [Company] [Company]
100 13. Tätigkeitsbericht 2005/ 2006 des EDSB Annex 1 Description of the Transfer and Processing
101 13. Tätigkeitsbericht 2005/ 2006 des EDSB 11.2 Erklärung von Montreux «Ein universelles Recht auf den Schutz personenbezogener Da- ten und der Privatsphäre unter Beachtung der Vielfalt in einer globalisierten Welt» Die Beauftragten für Datenschutz und den Schutz der Privatsphäre sind auf ihrer 27. Interna-tionalen Konferenz in Montreux (14. bis 16. September 2005) übereingekom- men, die Anerkennung des universellen Charakters der Datenschutzgrundsät- ze zu fördern, und haben folgende Schlusserklärung angenommen: Die Datenschutzbeauftragten
102 13. Tätigkeitsbericht 2005/ 2006 des EDSB 8. Erinnern daran, dass die Erhebung personenbezogener Daten und ihre spä- tere Verarbeitung im Einklang mit den Erfordernissen des Datenschutzes und des Schutzes der Privatsphäre erfolgen müssen, 9. Anerkennen die in einer demokratischen Gesellschaft bestehende Notwen- digkeit einer wirksamen Bekämpfung des Terrorismus und des organisierten Verbrechens, wobei jedoch daran zu erinnern ist, dass dieses Ziel unter Ach- tung der Menschenrechte und insbesondere der menschlichen Würde besser erreicht werden kann, 10. Sind der Überzeugung, dass das Recht auf Datenschutz und den Schutz der Privatsphäre in einer demokratischen Gesellschaft unabdingbare Vorausset- zung für die Gewährleistung der Rechte der Personen, des freien Informati- onsverkehrs und einer offenen Marktwirtschaft ist, 11. Sind überzeugt, dass das Recht auf Datenschutz und den Schutz der Privat- sphäre ein grundlegendes Menschenrecht ist, 12. S ind überzeugt, dass die universelle Geltung dieses Rechts verstärkt werden muss, um eine weltweite Anerkennung der Grundsatzregeln für die Verarbeitung personenbezogener Daten unter gleichzeitiger Be- achtung der rechtlichen, politischen, wirtschaftlichen und kulturellen Viel- falt durchzusetzen, 13. Sind überzeugt, dass allen Bürgern und Bürgerinnen der Welt bei der Verar- beitung sie betreffender personenbezogener Daten ohne jegliche Diskriminie- rung individuelle Rechte zugesichert werden müssen, 14. Erinnern daran, dass der Weltgipfel zur Informationsgesellschaft (Genf 2003) in seiner Grundsatzerklärung und seinem Aktionsplan die Bedeutung des Da- tenschutzes und des Schutzes der Privatsphäre für die Entwicklung der Infor- mationsgesellschaft hervorgehoben hat, 15. Erinnern daran, dass die internationale Arbeitsgruppe für den Datenschutz in der Telekommunikation empfi ehlt, im Rahmen multilateraler Abkommen den von ihr im Jahre 2000 erarbeiteten Zehn Geboten zum Schutz der Privatheit Rechnung zu tragen 1 , 1 http://www.datenschutz-berlin.de/doc/int/iwgdpt/tc_en.htm
103 13. Tätigkeitsbericht 2005/ 2006 des EDSB 16. Anerkennen, dass die Datenschutzprinzipien auf verbindlichen und nicht ver- bindlichen internationalen Rechtsurkunden beruhen, namentlich den Leitlinien der OECD für den Schutz des Persönlichkeitsbereichs und den grenzüber- schreitenden Verkehr personenbezogener Daten, dem Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung p ersonenbezogener Daten, den Richtlinien der Vereinten Nationen betref- fend personenbezogene Daten in automatisierten Dateien, der europäischen Richtlinie 95/46 zum Schutz natürlicher Personen bei der Verarbeitung per- sonenbezogener Daten und zum freien Datenverkehr und den Datenschutz- Leitsätzen der Asian Pacifi c Economic Cooperation (APEC), 17. Erinnern daran, dass es sich dabei insbesondere um folgende Prinzipien han- delt:
104 13. Tätigkeitsbericht 2005/ 2006 des EDSB Zu diesem Zweck ersuchen die Datenschutzbeauftragen a. die Organisation der Vereinten Nationen um Vorbereitung einer verbindlichen Rechtsurkunde, in der das Recht auf Datenschutz und Schutz der Privatsphäre als vollstreckbare Menschenrechte im Einzelnen aufgeführt werden; b. sämtli che Regierungen der Welt, sich für die Annahme von Rechtsurkun- den zum Datenschutz und zur Wahrung der Privatsphäre gemäss den Grundprinzipien des Datenschutzes einzusetzen, auch in ihren gegensei- tigen Beziehungen; c. den Europarat, gemäss Artikel 23 des Übereinkommens zum Schutz des Men- sch en bei der automatischen Verarbeitung personenbezogener Daten die Nichtmitgliedstaaten des Europarates, die über eine Datenschutzgesetz- gebung verfügen, zum Beitritt zu dem Übereinkommen und seinem Zusatz- protokoll aufzufordern; Zudem ermutigen die Datenschutzbeauftragten die Staats- und Regierungschefs, die sich im Rahmen des Weltgipfels zur Informations- gesellschaft in Tunis (16.-18. November 2005) versammeln, in ihre Schlusserklärung die Verpfl ichtung aufzunehmen, einen Rechtsrahmen zu entwickeln oder zu verstärken, der das Recht auf Privatsphäre und den Schutz der Personendaten aller Bürgerinnen und Bürger der Informationsgesellschaft gewährleistet, im Einklang mit der Verpfl ich- tung, die die iberoamerikanischen Staats- und Regierungschefs im November 2003 in Santa Cruz (Bolivien) sowie die Staats- und Regierungschefs der frankophonen Länder am Gipfel in Ouagadougou (November 2004) eingegangen sind. Die Datenschutzbeauftragten richten im Weiteren eine Aufforderung an a. die internationalen und supranationalen Organisationen, damit diese sich ver- pfl ichten, mit den wichtigsten internationalen Urkunden betreffend den Daten- schutz und den Schutz der Privatsphäre vereinbare Grundsätze einzuhalten und in sbesondere unabhängige und mit Kontrollbefugnissen ausgestat- tete Aufsichtsbehörden einzurichten; b. die internationalen nichtstaatlichen Organisationen wie Wirtschafts- und Han- delsverbände oder Verbraucherorganisationen zur Ausarbeitung von Normen, die auf den Grundprinzipien des Datenschutzes beruhen oder mit diesen Prin- zipien im Einklang sind; c. die Hersteller von Informatikmaterial und Software zur Entwicklung von Pro- dukten und Systemen, deren integrierte Technologien den Schutz der Privat- sphäre gewährleisten.
105 13. Tätigkeitsbericht 2005/ 2006 des EDSB Die Datenschutzbeauftragten kommen ausserdem überein a. na mentlich den Informationsaustausch, die Koordinierung ihrer Über- wachungstätigkeiten, die Entwicklung gemeinsamer Standards, die Förderung der Information über die Aktivitäten und die Entschliessungen der Konferenz zu verstärken; b. die Zusammenarbeit mit den Staaten zu fördern, die noch nicht über unabhän- gige Datenschutz-Aufsichtsbehörden verfügen; c. den Informationsaustausch mit den im Bereich des Datenschutzes und des Schutzes der Privatsphäre tätigen nichtstaatlichen internationalen Organisati- onen zu fördern; d. mit den Datenschutzberatern von Organisationen zusammenzuarbeiten; e. eine ständige Website einzurichten, die insbesondere als gemeinsame Infor- mations- und Ressourcenverwaltungsdatenbank dienen soll. Die Beauftragten für den Datenschutz und den Schutz der Privatsphäre vereinbaren, die Zielvorgaben der vorliegenden Erklärung regelmässig auf ihre Verwirklichung zu überprüfen. Eine erste Beurteilung wird anlässlich der 28. Internationalen Konferenz im Jahre 2006 erfolgen.
106 13. Tätigkeitsbericht 2005/ 2006 des EDSB 11.3 Resolution zur Verwendung der Biometrie in Pässen, Identi- tätskarten und Reisedokumenten 27. Internationale Konferenz der Datenschutzbeauftragten Montreux, 16. September 2005 Die 27. Internationale Konferenz der Datenschutzbeauftragten beschliesst: In Anbetracht der Tatsache, dass Regierungen und internationale Organisationen, na- mentlich die Internationale Zivilluftfahrtorganisation (ICAO), sich zur Zeit anschicken, Vorschriften und technische Normen zur Integration biometrischer Daten (Fingerab- drücke, Gesichtserkennung) in Pässe und Reisedokumente zu beschliessen, um zum einen den Terrorismus bekämpfen und zum andern Grenzkontrollen und Check-in- Verfahren beschleunigen zu können; Wissend, dass auch im Privatsektor zunehmend biometrische Daten verarbeitet wer- den, meistens auf freiwilliger Basis; Unter Berücksichtigung des Umstandes, dass biometrische Daten gesammelt werden können, ohne dass die betroffene Person Kenntnis davon erhält, da sie biometrische Spuren unbewusst hinterlassen kann; Im Hinblick darauf, dass die Biometrie den menschlichen Körper «maschinenlesbar» machen wird und dass biometrische Daten als weltweit einheitlicher Identifi kator be- nutzt werden könnten; Unter Hinweis darauf, dass die verbreitete Verwendung der Biometrie weitreichende Folgen für die Weltgesellschaft haben wird und deshalb Gegenstand einer offen ge- führten weltweiten Diskussion bilden sollte; fordert die Konferenz
107 13. Tätigkeitsbericht 2005/ 2006 des EDSB 11.4 Resolution zur Verwendung von Personendaten für die poli- tische Kommunikation Montreux (Schweiz), 14. – 16. September 2005 Die Konferenz In Erwägung, dass politische Kommunikation ein grundlegendes Instrument für die Beteiligung der Bürgerinnen und Bürger, der politischen Kräfte und der Kandida- tinnen und Kandidaten am Leben einer Demokratie ist, und in Anerkennung der Wich- tigkeit der Freiheit der politischen Meinungsäusserung als ein Grundrecht; In Erwägung, dass gelebte Staatsbürgerschaft das Recht der Bürgerinnen und Bürger voraussetzt, im Rahmen von Wahlkampagnen von Politik und Verwaltung Informati- onen zu erhalten und angemessen informiert zu werden; in Erwägung, dass di- ese Rechte auch geeignet sind, um bei weiteren Themen, Ereignissen und politischen Positionen in Kenntnis der Sachlage seine Wahl zu anderen Themen des politischen Lebens treffen zu können, sei es bei Referenden, bei der Wahl von Kandidatinnen und Kandidaten oder beim Zugang zu Informationen innerhalb politischer Organisationen oder von gewählten Amtsträgern; In Erwägung, dass sich die politischen Kräfte und politische Organisationen im Allge- meinen sowie gewählte Abgeordnete verschiedener Formen der Kommunikation und der Geldmittelbeschaffung bedienen und Informationsquellen und neue Technologien nutzen, um direkte und persönliche Kontakte mit verschiedensten Kategorien von be- troffenen Personen zu knüpfen; In Erwägung, dass in einer wachsenden Zahl von Ländern ein Trend hin zu immer stär- kerer institutioneller Kommunikation gewählter Kandidatinnen und Kandidaten und Körperschaften zu beobachten ist, ebenfalls auf lokaler Ebene und mittels E-Go- vernment; in der Erwägung, dass diese Aktivitäten, die die Verarbeitung von Personen- daten voraussetzen können, in Einklang stehen mit dem Recht der Staatsbürgerinnen und -bürger, über die Tätigkeiten der gewählten Kandidatinnen und Kandidaten und Körperschaften informiert zu werden; In Erwägung, dass in diesem Rahmen von politischen Organisationen fortlaufend eine grosse Menge von Personendaten gesammelt und manchmal in aggressiver Art und Weise verwendet werden, unter Anwendung verschiedener Techniken wie Umfragen, Sammlu ng von E-Mail-Adressen mittels geeigneter Software oder Suchmaschinen, fl ächendeckender Stimmenwerbung in Städten oder Formen politischer Ent-
108 13. Tätigkeitsbericht 2005/ 2006 des EDSB scheidbildung durch interaktives Fernsehen oder Computerdateien, die die Herausfi l- terung einzelner Stimmenden erlauben; in Erwägung, dass in diesen Daten – zusätzlich zu elektronischen Adressen, Telefonnummern, E-Mail-Konten, Informationen über be- rufl iche Tätigkeiten und familiäre Verhältnisse – zuweilen unrechtmässig auch sen- sible Daten enthalten sein können wie Informationen über – tatsächliche oder bloss vermutete – ethische oder politische Überzeugungen oder Aktivitäten oder über das Wahlverhalten; In Erwägung, dass von verschiedenen Personen invasive Profi le erstellt und sie klas- sifi ziert werden – manchmal unzutreffenderweise oder auf der Grundlage eines fl üch- tigen Kontakts – als solche, die mit einer bestimmten politischen Strömung sympa- thisieren, sie unterstützen, ihr angehören oder gar Parteimitglieder sind, um so mit bestimmten Gruppen von Bürgerinnen und Bürgern vermehrt persönlich kommuni- zieren zu können; In Erwägung, dass diese Aktivitäten gesetzeskonform und ordnungsgemäss ausgeübt werden müssen; In Erwägung, dass es nötig ist, die Grundrechte und Grundfreiheiten der betroffenen Personen zu schützen und mit geeigneten Massnahmen zu verhindern, dass diese Personen ungerechtfertigtes Eindringen in ihre Privatsphäre erfahren, Schaden erlei- den oder ihnen Kosten entstehen, dass sie namentlich negative Auswirkungen und mögliche Diskriminierungen erleiden oder auf die Ausübung bestimmter Formen der politischen Beteiligung verzichten müssen; In Erwägung, dass es möglich sein sollte, das Schutzziel zu erreichen, indem sowohl die Interessen der Öffentlichkeit an bestimmten Formen politischer Kommunikation als auch angemessene Modalitäten und Garantien in Bezug auf die Kommunikation mit Parteimitgliedern und mit andern Bürgerinnen und Bürgern in Betracht gezogen werden; In Erwägung, dass in diesem Sinne ein verantwortungsbewusstes Marketing gefördert werden kann, ohne dass der Austausch politischer Ideen und Vorschläge behindert zu werden braucht, und dass die politische Kommunikation, auch wenn sie gelegentlich Elemente typischer Werbetätigkeiten aufweist, doch Eigenheiten hat, die sie vom kom- merziellem Marketing unterscheiden; In Erwägung, dass Datenschutzgesetze bereits in vielen Gerichtsbarkeiten auf poli- tische Kommunikation anwendbar sind;
109 13. Tätigkeitsbericht 2005/ 2006 des EDSB In Erwägung, dass es nötig ist, die Einhaltung der Datenschutzgrundsätze zu garan- tieren und dazu einen weltweiten Minimalstandard zu schaffen, der dazu beitragen könnte, das Schutzniveau für Personen, von denen Daten gesammelt werden können, zu harmonisieren, indem zum einen nationale und internationale Verhaltensregeln zur Grundlage genommen und zum andern spezifi sche Lösungen und Regelungen einzel- ner Länder berücksichtigt werden; In Erwägung, dass die Datenschutzbeauftragten künftig eine stärkere Rolle in der Pla- nung koordinierter Aktionen spielen könnten, auch in Zusammenarbeit mit anderen Aufsichtsbehörden in den Bereichen der Telekommunikation, Information, Meinungs- umfragen oder Wahlverfahren; verabschiedet folgende Resolution Jede Aktivität politischer Kommunikation, die die Verarbeitung von Personendaten vo- raussetzt – auch diejenige, die nicht im Zusammenhang mit Wahlkampagnen steht – muss die Grundrechte und Grundfreiheiten der von der Datenverarbeitung betrof- fenen Personen respektieren, einschliesslich des Rechts auf Schutz der persönlichen Daten, und muss im Einklang stehen mit den anerkannten Grundsätzen des Daten- schutzes, namentlich: Datenminimierung Personendaten sollen nur so weit verarbeitet werden, als es zur Erreichung des spezi- fi schen Zwecks, zu welchem sie gesammelt werden, erforderlich ist. Erhebung auf rechmässige Weise und nach Treu und Glauben Personendaten sollen aus erkennbaren Quellen rechtmässig erhoben werden und sie sollen nach Treu und Glauben verarbeitet werden. Es soll sichergestellt wer- den, dass die Quellen, im Einklang mit dem Gesetz, entweder öffentlich zugänglich sind, oder dass andernfalls respektiert wird, dass sie nur zu bestimmten Zwecken, unter bestimmten Modalitäten, für einen begrenzten Anlass oder Zeitraum genutzt werden dürfen. Besondere Aufmerksamkeit soll jenen Fällen geschenkt werden, in denen aggressive Methoden für die Kontaktaufnahme mit den betroffenen Personen gewählt werden. Datenqualität Bei der Verarbeitung sollen die anderen Grundsätze zur Sicherung der Datenqualität beachtet werden. Die Daten müssen insbesondere richtig, relevant und auf das not- wendige Minimum beschränkt sein und à jour gehalten werden im Hinblick auf den be- stimmten Zweck, zu dem sie erhoben wurden, besonders wenn sich die Informationen auf gesellschaftliche oder politische Anschauungen oder ethische Überzeugungen der betroffenen Person beziehen.
110 13. Tätigkeitsbericht 2005/ 2006 des EDSB Zweckmässigkeit Personendaten aus privaten oder öffentlichen Informationsquellen, Institutionen oder Organisationen dürfen für die politische Kommunikation verwendet werden, wenn ihre Weiterverarbeitung im Einklang steht mit dem Zweck, zu dem sie ursprünglich erhoben wurden, und den betroffenen Personen zur Kenntnis gebracht wird; dies gilt insbesondere für sensible Daten. Gewählte Abgeordnete müssen diese Grundsätze beachten, wenn sie Daten, die zur Ausübung der amtlichen Funktionen gesammelt wurden, für die politische Kommunikation benützen wollen. Personendaten, die ursprünglich mit augeklärter Einwilligung der betroffenen Person zu Marketingzwecken erhoben wurden, dürfen für die politische Kommunikation ver- wendet werden, wenn der Zweck der politischen Kommunikation in der Zustimmungs- erklärung ausdrücklich genannt wird. Verhältnismässigkeit Personendaten dürfen nur auf die Art und Weise verarbeitet werden, die dem Zweck der Datensammlung entspricht, insbesondere wenn es um Daten zu potenziellen Wählerinnen und Wählern oder um den Vergleich von Daten geht, die aus verschie- denen Archiven oder Datenbanken stammen. Personendaten, insbesondere solche, die über den Anlass hinaus, zu dem sie erhoben wurden, aufbewahrt werden, dürfen weiter verwendet werden, bis die Ziele der poli- tischen Kommunikation erreicht sind. Information der betroffenen Person Den betroffenen Personen muss eine dem gewählten Kommunikationsmittel entspre- chende Informationsnotiz zugestellt werden, bevor von ihnen Daten gesammelt wer- den; die Notiz hat den für die Datensammlung Verantwortlichen zu bezeichnen (die einzelne kandidierende Person; den externen Kampagnenleiter; die lokale Unterstüt- zungsgruppe; lokale oder assoziierte Vereinigungen; die Partei insgesamt) sowie den zu erwartenden Datenaustausch zwischen diesen Instanzen. Die Person, von der Daten gesammelt werden, muss informiert werden, wenn diese Daten ohne ihr Zutun gesammelt werden, zumindest wenn die Daten nicht nur vorü- bergehend aufbewahrt werden.
111 13. Tätigkeitsbericht 2005/ 2006 des EDSB Einwilligung Es muss sichergestellt sein, dass die Verarbeitung von Personendaten auf der Eiwil- ligung der betroffenen Person oder auf einen anderen gesetzlich vorgesehen Grund beruht. Die Verarbeitung muss die im jeweiligen Staat geltenden, den spezifi schen Informationsquellen und –mitteln entsprechenden Regelungen beachten, namentlich im Falle von E-Mail-Adressen, Faxnummern, SMS oder andern Text/Bild/Video-Mittei- lungen oder von aufgezeichneten Telefonkontakten. Datenaufbewahrung und Datensicherheitsmassnahmen Jede für eine Datensammlung verantwortliche Person, sei es eine politische Gruppie- rung oder eine einzelne kandidierende Person, muss alle technischen und organisa- torischen Massnahmen treffen, die nötig sind, um die Integrität der Daten zu schützen und um zu verhindern, dass die Daten verloren gehen oder von unbefugten Personen oder Stellen benutzt werden. Rechte der betroffenen Person Die betroffene Person hat das Recht auf Zugang, Berichtigung, Sperrung und Löschung ihrer Daten; sie hat das Recht, sich gegen unerwünschte Kommunikation zu wehren und – kostenlos sowie auf einfache Weise – zu verlangen, keine neuen Mitteilungen mehr zu erhalten. Diese Rechte müssen in der an sie gerichteten Informationsnotiz ausdrücklich genannt werden. Für den Fall, dass diese Rechte verletzt werden, sind angemessene Massnahmen und Sanktionen vorzusehen.
112 13. Tätigkeitsbericht 2005/ 2006 des EDSB 11.5 Opinion on the proposal for a Council Framework Decision on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters. Conference of European Data Protection Authorities Brussels, 24 January 2006 Executive Summary The Conference considers that we are on the eve of a major development for funda- mental rights and freedoms, which has been preceded by preparatory work that has been developing over several years and has now been taken up by the Commission with a view to creating an area of freedom, security and justice. The Data Protection Authorities very much welcome the proposed introduction of spe- cifi c data protection principles in the third pillar to safeguard citizens. An innovative approach such as the one envisaged in The Hague Programme on ju- dicial and police co-operation requires corresponding innovations in terms of safegu- ards. These Authorities consider that the introduction of new, systematic, well-balanced sa- feguards will contribute to effectively enhancing the prevention of and fi ght against crime. These Authorities call for the adoption of the present draft as supplemented by their opinion with a view to achieving a comprehensive data protection framework. In this manner, a system of safeguards would be set up and applied not only to the data trans- mitted to and/or received from other Member States, but to the whole of processing operations concerning personal data in the law enforcement sector, including the use of non-automated data. Consistent solutions might be devised in order to also apply the new principles to Europol, Eurojust, and the Customs Information System. The Authorities encourage the approximation of the laws and regulations of Member States; to that end, they advocate that the fi nal wording of these principles be based on indications as clear-cut and precise as possible in order to prevent interpretive issues and excessively divergent applications. In this respect, the Authorities request that some provisions in the draft be clarifi ed, supplemented or amended, and confi rm their readiness to contribute further to the launch of this important instrument.
113 13. Tätigkeitsbericht 2005/ 2006 des EDSB I. Introduction A harmonised standard of data protection applicable to all law enforcement activities has been the subject of discussion for several years. The developments in the past years in the fi eld of law enforcement driven by the demands of tackling terrorism and serious crime, call for further investment in appro- priate safeguards to guarantee a high standard of data protection, taking into account the fundamental rights enshrined in existing legal instruments. Supporting this call, the Hague Programme promotes the development of adequate safeguards and effective legal remedies for the transfer of personal data for the pur- pose of police and judicial cooperation in criminal matters. The European Parliament also recommended harmonizing existing rules on the protection of personal data in the instruments of the third pillar, bringing them together in a single instrument that guarantees the same level of data protection as provided for under the fi rst pillar. Furthermore, the 2005 Spring Conference of the European Data Protection Authorities in Krakow adopted a Declaration and Position Paper advocating the development of a data protection legal framework applicable to law enforcement activities and provi- ding a tailor made set of rules. 1 On 4 October 2005, the Commission presented a proposal for a Council Framework decision on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters. 2 The Conference very much welcomes this proposal that should be recognised as an important step towards the creation of harmonised and appropriate data protection safeguards. The Conference has adopted the following opinion at its Conference on 24 January 2006 in Brussels. 1 Krakow Declaration and Position Paper, Krakow 25-26 April 2005 2 COM(2005) 475
114 13. Tätigkeitsbericht 2005/ 2006 des EDSB II. Introductory remarks The EU is obliged to respect fundamental rights, as guaranteed by the European Con- vention on Human Rights and the Charter of Fundamental Rights of the European Union. In addition to the right to respect for private and family life guaranteed by Article 8 of the ECHR and reaffi rmed by Article 7 of the Charter of Fundamental Rights, the right to data protection is enshrined in Article 8 of the Charter. Pursuant to the fundamental rights outlined above, the 1981 Council of Europe Con- vention on data protection (Convention 108) sets out specifi c principles of data pro- tection and is applicable in the third pillar. 3 More detailed provisions can be found in a Recommendation on the use of personal data in the police sector, which was adopted by the Council of Europe‘s Committee of Ministers. 4 According to the explanatory memorandum, this Recommendation has been taken into account in order to transpose its main principles into legally binding provisions at EU level. The importance of this Recommendation justifi es that reference is made to that Recommendation in the preamble of the proposed framework decision. It should be stressed that personal data processed for law enforcement purposes are particularly delicate. Apart from the character of the data and the impact on the data subject when his data are processed by law enforcement authorities, the nature of the processing and the fact that this happens in most cases without the knowledge of the person concerned, forces the introduction of a high level of protection. It should also be stressed that any use of these data may have serious and sometimes irreversible consequences. The present proposal provides for a good instrument to enhance the safeguards of the data subject and at the same time will introduce a platform for harmonized processing of law enforcement data. 3 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data of 28 January 1981 (Convention 108) 4 Recommendation No. R (87) 15, of 17 September 1987
115 13. Tätigkeitsbericht 2005/ 2006 des EDSB III. General remarks In the Krakow Declaration the Conference stated that «In order to avoid a divergence between the First and the Third Pillars which would have a negative impact on en- forcement and transparency and in view of the Charter of Fundamental Rights and the forthcoming Constitution for Europe which will abolish the Pillars, the Conference calls to preserve - and where necessary to regain - the coherence, the consistency and the unity of data protection. The principles of Directive 95/46 should form the common core of a comprehensive European data protection law.» The Conference welcomes the approach to follow existing and proven principles and defi nitions, notably those laid down in Directive 95/46/EC. This is undoubtedly in the in- terests of guaranteeing consistency in data protection in the EU and shall at the same time provide for specifi c rules in the area of law enforcement. The specifi c task of law enforcement authorities, the different developments in this area and the character of personal data involved make it necessary to develop common standards and to set up effective safeguards. The Conference considers that we are on the eve of a major development for funda- mental rights and freedoms, which has been preceded by preparatory work that has been developing over several years and has now been taken up by the Commission with a view to creating an area of freedom, security and justice. The Data Protection Authorities welcome the proposal introducing principles to sa- feguard citizens. An innovative approach such as the one envisaged in The Hague Programme on judicial and police co-operation requires corresponding innovations in terms of safeguards. These Authorities consider that the introduction of new, systema- tic, well-balanced safeguards will contribute to effectively enhancing the prevention of and fi ght against crime. These Authorities call for the adoption of the present draft as supplemented by their opinion with a view to achieving a comprehensive data protec- tion framework. In this manner, a system of safeguards would be set up and applied not only to the data transmitted to and/or received from other Member States, but to the whole of processing operations concerning personal data in the law enforcement sector, including the use of non-automated data. Consistent solutions might be devi- sed in order to also apply the new principles to Europol, Eurojust, and the Customs Information System. The Authorities encourage the approximation of the laws and regulations of Member States; to that end, they advocate that the fi nal wording of the new principles be based on indications as clear-cut and precise as possible in order to prevent interpretive issues and excessively divergent applications. In this respect, the Authorities request that some provisions in the draft be clarifi ed, supplemented or amended, and confi rm their readiness to contribute further to the launch of this important instrument.
116 13. Tätigkeitsbericht 2005/ 2006 des EDSB Recalling its Krakow Declaration and Position Paper, the Conference welcomes that the object of the present proposal sets common standards for all processing of per- sonal data in the fi eld of law enforcement. Developments to improve the fi ght against crime go beyond the simple exchange of personal data and justify the approximation of Member States‘ laws. The fundamental rights of the individual are at stake and need adequate and harmonized data protection safeguards that should not be limited to exchanged data. The proposed framework decision uses the term «public security» in the Articles 11-15. The Conference notes that this term has a different meaning in the national laws of some of the Member States In view of the need to harmonize the conditions for further use of personal data as regulated in Article 11-15, it is suggested to avoid using terms which may have diffe- rent connotations. IV. Specifi c remarks The Conference has some specifi c remarks concerning the followings subjects. Preamble In preamble (9) «the (...) European citizens» should be replaced by «everyone» . Data protection is a right of every human being. Preamble 25 as well as Article 34(2), state that any reference to the Council of Europe Convention of 28 January 1981 (Convention 108) should be read as a reference to this framework decision. However, it is not explained in which instruments and why this should be the case. It also appears to be inconsistent with Article 3(2) as both the Eu- ropol Convention and Eurojust Decision refer specifi cally to the Convention 108. The use of biometric data and DNA profi les in law enforcement activities is increasing. The character of these data justifi es the introduction of a preamble calling for special attention to these data.
117 13. Tätigkeitsbericht 2005/ 2006 des EDSB Chapter I, object, defi nitions and scope Article 1 Article 34(2)(b) of the Treaty on the European Union is used as legal basis for the propo- sal. The Council thus clearly underlines its aim to approximate laws and regulations of Member States. This is reaffi rmed in Article 1(1), stating that the object of the proposed framework decision is to set common standards to ensure protection of individuals with regard to the processing of personal data in law enforcement. Against this back- ground, Article 1(2) only makes sense if the proposed framework decision results in a complete harmonization of data protection law concerning the police and judicial cooperation in the EU. Article 2 Law enforcement authorities use various techniques to collect and further process personal data. This includes the processing of different formats of information relating to natural persons such as sound and images. In order to be consistent with the Direc- tive 95/46/EC, the proposed framework decision should also apply to these data. The Conference suggests introducing an explanation in the preamble that the defi nition of personal data also includes these different formats. Article 3 According to preambles 21 and 22, the proposed framework decision will replace the data protection regime of the Schengen Acquis, including the rules applicable to the Schengen Information System, as well as those that will be applicable to SIS II. It should be recognised that the Schengen Information System contains a separate and specifi c form of processing of personal data. At present, the Schengen Acquis provides for «tailor made» data protection rules. The replacement of these tailor made rules by more general rules provided for by the proposed framework decision should not lead to a lower level of protection. For further detailed comments on this topic, the Conference refers to the opinions of the Schengen Joint Supervisory Authority, the European Data Protection Supervisor (EDPS) and the Article 29 Working Party on the proposed legal basis for SIS II. The Conference stresses the need to regulate the processing of all manual data. In the fi eld of law enforcement activities, data conservation in paper records still plays an important role. Therefore the same level of data protection should apply for all manual data processing as for structured fi les.
118 13. Tätigkeitsbericht 2005/ 2006 des EDSB Article 3 furthermore excludes Europol, Eurojust and the Customs Information System from the application of the proposed framework decision. The Conference recognizes that there are strong reasons for Article 3(2) as a short term-measure. However, the aim should be for these organisations to come within the scope of the proposed fra- mework decision even if they then need to retain some additional specifi c rules to refl ect their particular circumstances. Chapter II, general rules of the lawfulness of processing of personal data The application of the proposed framework decision to all data processing by law enforcement authorities means that the general rules of the lawfulness should apply to all aspects of processing. These general rules should thus also provide for the rules of further processing of data irrespective of whether those data were transmitted by another Member State. In view of this, the rules in Chapter III should be included in Chapter II, except for those provisions that provide for additional safeguards relating to transmitted data. Article 4 The principles in paragraph 1 concerning the quality of data are consistent with the Directive 95/46/EC. Article 4(1)(d) introduces a provision according to which Member States may provide for the processing of data to varying degrees of accuracy and reliability. The Conference understands that the specifi c character of law enforcement justifi es this difference. However, in view of the importance and impact of the use of such data, more detailed regulations for their distinction to varying degrees of accura- cy and reliability should be developed, strictly implemented and controlled. Connected with this subject is the third paragraph of Article 4, calling for a «clear di- stinction to be made between personal data» of the categories of persons mentioned in that paragraph. The Conference understands that Article 4(3) provides for an extra safeguard, distingu- ishing categories of persons, based on the reason for processing their data. However the proposed framework decision gives no further indication of the purpose for ma- king that distinction. Such a distinction could for example be used to create limitations in the further use of these data, limitations based on the category of person and/or the kind of data pro- cessed. It should be clear that data considered as not reliable may not always be used for all law enforcement purposes. The same applies for the categories of persons. Data concerning non-suspects, collected and used for a specifi c investigation, may not be used for any other law enforcement activity.
119 13. Tätigkeitsbericht 2005/ 2006 des EDSB The Conference advocates the introduction of a system limiting the further use of personal data pursuant to Articles 11-15 of the proposed framework decision. The limitations should also be based on the categories of persons and the classifi cation of data. Chapter II does not contain specifi c rules on the further processing of exchanged data by the recipient that has been collected using special investigation methods, especially covert or mandatory collection of personal data without the knowledge of the citizen concerned. For example, data collected by interference with the secrecy of telecommunications ought to be classifi ed as such and the recipient ought to be obliged to respect special limitations for further use in compliance with the classifi cation of the Member State where they have been collected. The Conference advocates a new paragraph in Article 4 introducing an obligation for the recipient to act in conformity with any limitation of use to which the controller of the data is subject. The Conference further wonders what is meant with the sentence in the last indent of Article 4(3). The processing of data on persons who are not suspected of having committed any crime (other than victims and witnesses) should only be allowed under certain specifi c conditions and when absolutely necessary for a legitimate, well-defi ned and specifi c purpose. The processing of data on non-suspects, such as when making speculative enquiries or for the purpose of establishing whether or not a suspicion relating to a serious cri- minal activity might be justifi ed, should be restricted to a limited period, and the further use of these data for other purposes should be prohibited. Paragraph 4, fi rst indent, contains a specifi cation of the term «necessary» in the con- text of processing data for the purposes of the present draft. The Conference notes that this specifi cation is too wide and in contradiction with the restrictive notion of the word «necessary». Paragraph 4 for example includes terms such as «making pos- sible» and «facilitating or accelerating» which in fact indicate unlimited processing of personal data. The Conference strongly suggests redrafting this text, taking into account existing case law of the European Court of Human Rights relating to Article 8 ECHR. Since this subject is closely related to the criteria for making data processing legiti- mate, the Conference further suggests moving this paragraph to Article 5.
120 13. Tätigkeitsbericht 2005/ 2006 des EDSB Article 6 Article 6 (2) provides for more opportunities to process sensitive data in comparison with Principle 2.4 of the Council of Europe Recommendation No. (87) 15. That principle allows processing of sensitive data for police purposes only if absolutely necessary for the purposes of a particular inquiry. In view of the sensitive character of the data and the implications of their use, it is necessary to limit the processing to a particular inquiry. Furthermore, it is suggested to introduce an obligation to the Member States to imple- ment special organizational requirements for the processing of sensitive data. Article 7 Article 7, dealing with the time limits for the storage of personal data, does not provi- de for absolute time limits. Article 7 follows the general principle laid down in Article 4(1)(e): personal data shall be stored for no longer than necessary for the purpose for which it was collected. However, Article 7 also creates the possibility to introduce other time limits by natio- nal law. This opportunity is not acceptable for different reasons. Limited storage is a basic principle of data protection and derives from the fundamental right of respect for private life. It should not be overridden simply because a Member States chooses to legislate otherwise. This article introduces a very general exception which might infl uence the harmonisation effect of the proposed framework decision. Different time limits in different Member States for the same data will also have a negative effect on the exchange of data. On several occasions law enforcement authorities referred to the different storage periods as a reason for not exchanging information. The Conference proposes to delete this exception. Chapter III, Specifi c forms of processing The Conference refers to its comment on Chapter II that those provisions of Chapter III that will be generally applicable to the processing of personal data should be included in Chapter II SECTION I- transmission of and making available personal data to the competent authorities of other Member States
121 13. Tätigkeitsbericht 2005/ 2006 des EDSB Article 8 In order to maintain consistency with the general principles in Chapter II, it should be made clear that Article 8 refers to the personal data «collected and processed in accordance with Article 5 of the proposal». The communication of such personal data must respect principle 5 of Recommenda- tion 87/15 of the Council of Europe, which specifi cally addresses all the tasks police authorities are entrusted with for the prevention and suppression of criminal offences and the maintenance of public order (reference is made to the defi nition of «for police purposes» contained therein). In particular, Principle 5.1 «Communication within the police sector» underlines the need to demonstrate the existence of «a legitimate interest for such communication within the framework of the legal powers of these bodies». As the evaluation of the Recommendation has shown, its principles are of great impor- tance for the lawful processing of personal data in the fi eld of the judicial and police activities aimed at prevention as well as the performance of police tasks – including public prosecutors’ activities in this fi eld - so as to ensure respect for fundamental human rights and in particular for Article 8 of the ECHR. The Conference proposes to amend the text as follows. Member States shall provide that personal data collected and processed by the competent authorities shall only be transmitted or made available to the competent authorities of other Member States if necessary for the fulfi lment of a legitimate task of the transmitting or receiving authority and for the purpose of the prevention, inve- stigation, detection or prosecution of specifi c criminal offences. Article 9 The Conference suggests to add in Article 9(1) a reference to Article 4 (principles re- lating to data quality) in order to stress, as also highlighted by the EDPS in his opinion (point 52), that the provisions of Chapter III should offer additional protection to data subjects and prevent the risk of lowering such protection. Consequently the words «Furthermore...inaccurate» in Article 9(5) should be deleted. Article 9(7) sums up three reasons for deletion of data received from another Member State. There is a close relation between this paragraph and Article 4 (1)(c). In view of this, the Conference suggests to underline the existing connection between the fi rst two reasons for deletion of received data and the third one, by introducing at the end of the second indent «....and, in any case if these data ..»-.
122 13. Tätigkeitsbericht 2005/ 2006 des EDSB Article 10 Like the EDPS (point 133 of the EDPS‘ opinion), the Conference believes that «an ef- fective monitoring of a proper processing of personal data must focus not only on the lawfulness of the transmission of personal data between authorities, but also on the lawfulness of the access by those authorities. It is therefore necessary to log or docu- ment «access» to data.«The Conference suggests amending the fi rst two paragraphs accordingly. In view of the tasks of the supervisory authorities, Article 10(3) should specify that logs should be «kept at the disposal of the competent supervisory authority and communicated without delay to the said authority on request.» Article 10 does not deal with a time limit for the storage of log data. It would be appro- priate to set a certain minimum time limit for the storage in the proposed framework decision. SECTION II- FURTHER PROCESSING, IN PARTICULAR FURTHER TRANSMISSION AND TRANSFER, OF DATA RECEIVED FROM OR MADE AVAILABLE BY THE COMPETENT AUTHORITIES OF OTHER MEMBER STATES Article 11 Article 11(1) defi nes the purposes of the further processing of personal data. Refer- ring to its comments concerning the scope of the proposed framework decision, the Conference advocates that Article 11 should apply to all data processing, and should not be limited to exchanged data. Article 11 should furthermore correspond with the principles governing the collection of the data, i.e. Article 4 (1)(b) and Article 5. It should be noted that Article 5 defi nes the criteria for making the processing of personal data legitimate, and requires that «the processing [be] necessary for the fulfi lment of the legitimate task of the authority concerned AND for the purpose of the prevention, investigation, detection or prosecution of criminal offences». However Article 11(1)(b) includes other reasons legitimating the further processing of data such as preventing threats to public security or to a person.
123 13. Tätigkeitsbericht 2005/ 2006 des EDSB The Conference notes that the further use of personal data should in principle be limited to the initial purpose of the processing. However, the Conference is well aware of the need to use data for other purposes. The provisions concerning the further use should therefore allow some fl exibility Recalling its Krakow position paper, personal data should only be collected and processed for legitimate, well-defi ned and specifi c law enforcement purposes. Such exceptions could apply when absolutely necessary, in a specifi c case, for the prevention, investigation, detection and prosecution of crimi- nal offences or for the protection of interests or fundamental rights of a person, taking into account any special limitations relating to the category of personal data. The Conference was concerned as to how in practice the concept of prior consent would work and whether it is realistic to include it in this article without any limitation. The Conference also considered that the use of the term «consent» should be confi - ned to the position of the data subject. In the context of law enforcement authorities, the term «authorisation» or «approval» is more appropriate. Articles 12-15 In the position paper adopted at the Krakow Conference, general rules for the further processing of personal data are defi ned. These rules should be used as a basis for the assessment of Article 12-15. Basic rule is the relation between the further processing and transmission of data with the purpose of the collection and processing. This requires strict respect of the general principles contained in Chapter II. It should be furthermore be stressed that the recipients as referred to in Article 13 and 14 may only use the data in accordance with the relevant national data protection rules. Article 13 Article 13 allows the transmission to authorities other than competent authorities without suffi cient limitations. The Conference refers to the more limited possibilities mentioned in Principle 8 of the Position Paper adopted in Krakow. Further transmissi- on and use of personal data collected and processed for law enforcement purposes must only be allowed under specifi c, well-documented circumstances that must be provided for by law and necessary in an individual case. Article 14 The current wording of Article 14 seems to better refl ect the necessary requirements. It should be clarifi ed in the text that the words «only in particular cases» refer to a specifi c individual.
124 13. Tätigkeitsbericht 2005/ 2006 des EDSB Article 15 In view of consistency, Article 15 should apply to all personal data processed irrespec- tive of their origin. Only Article 15(1)(c) provides for additional rules for exchanged data. Article 15(6) provides for an exception to the basic rules of Article 15 in case where essential interests of a Member State or the prevention of imminent serious danger threatening public security or a specifi c person or persons justify such exception. In line with the obligation of Article 15(1)(c), the Conference suggests introducing, in cases where the data have been received from another member State, an obligation to inform the competent authority of that Member State of the use of this exception. Chapter IV, Rights of the Data subject The processing of personal data in the third pillar requires a high level of protection because of the sensitivity of the data and the serious and harmful consequences this may have for the data subject, especially in relation to the fear of new terrorist attacks. The Conference welcomes the provisions related to the data subject rights which are consistent with the general rules of data protection legislation. Moreover, these provisions provide for a harmonized set of rules while the current situation varies a lot from one Member State to another. Indeed, in some Member States the data subject has a direct right of access to his/her data, while in other Member States this right is only indirect. Information communicated to the data subject when he/she ex- ercises his/her right of access (direct or indirect) is different from one Member State to another, some providing a lot of information while others do not communicate any information at all. Like the EDPS, the Conference regrets that the proposal does not address the im- portant issue of automated individual decisions. This is especially important in the third pillar where consequences of the processing of personal data may seriously and harmfully affect the data subject. Indeed, these data are mainly processed by authori- ties having public coercive powers. Moreover, the data processed are often only based on suspicions. Finally, it must be kept in mind that personal data will be exchanged on a very large scale increasing the risk of errors. Therefore, the Conference also recommends introducing a specifi c provision in the proposal on automated individual decisions. Such a decision should only be autho- rized by a law which lays down measures to safeguard the data subject’s legitimate interests. Moreover, arrangements should be made in order to allow the data subject to put across his/her point of view and to know the logic of the decision.
125 13. Tätigkeitsbericht 2005/ 2006 des EDSB Article 19 Article 19(2) provides for a list of derogations from the obligation of the data controller to inform the data subject about several elements. The Conference is aware that it can be necessary for law enforcement purposes not to inform the data subject that his/her data are processed. However, since this is a derogation of a fundamental right, it has to be analyzed according to the principle of proportionality. In other words, the derogation must be strictly defi ned and applied on a case-by-case basis referring to a specifi c individual. One of the derogations is to enable the controller to fulfi l its lawful duties properly (let- ter a). This derogation is so broad that it could become the rule. Moreover, it overlaps the derogation provided under letter b, according to which the provision of information shall be refused or restricted if necessary «to avoid prejudicing of ongoing investiga- tions, inquiries or proceedings or the fulfi lment of the lawful duties of the competent authorities». As this derogation seems justifi ed and protects police and judicial work, the former one is clearly too broad and should be deleted. The Conference wonders why a distinction is made between the duties of the «con- troller» (letter a) and the duties of the «competent authorities» (letter b). Does it mean the controller benefi ts from a broader derogation when the data are processed for its own duties than when they are processed by competent authorities? The derogation is much too broad and should be deleted. The obligation to inform the data subject should only be limited for both of them (controller and competent authorities) if it may prejudice the fulfi lment of their lawful duties. Letter b could be completed as follows: «(...) or the fulfi lment of the lawful duties of the controller and/or the com- petent authorities». The Conference welcomes the last indent which reiterates the obligation to always strike the balance between the rights of the data subject and the interests of the controller. Articles 19(3) and 19(4) refer to the refusal or restriction to give information to the data subject. This might cause some confusion with the right of access. Indeed, the data subject does not have to request the information (contrary to the rights of access), the information must be automatically given to him/her. These paragraphs should be redrafted taking into account these differences.
126 13. Tätigkeitsbericht 2005/ 2006 des EDSB Article 20 Article 20(1) stipulates that the controller has to either inform the data subject at the time of undertaking the recording of personal data or, if disclosure is envisaged, within a reasonable time after the data are fi rst disclosed. The logic here is unclear. Data subjects are likely to be more concerned about the possible disclosure of their data than about mere recording. However, it is where disclosure is envisaged that the provision of information to the data subject can be delayed even beyond the point at which the data are disclosed. When disclosure is not envisaged, the provision of information has to be immediate. The Conference proposes that Article 20(1) should be amended to provide that information should be given to the data subject within a reasonable time after undertaking the recording of personal data and, in any case, no later than before the data are fi rst disclosed. The Conference considers that this would simplify the article, be of greater benefi t to data subjects and be less burdensome for data controllers. Article 21 Article 21 guarantees data subjects rights to be obtained from the controller. It is important to defi nes these specifi c rights, but the Conference suggests to leave it up to national law to determine the appropriate means of exercising these rights. Article 21(1) and the specifi c provisions in paragraphs 3 and 4 should be redrafted in that sense. According to Article 21(1)(c), the data subject has the right to obtain from the controller «notifi cation to third parties to whom the data have been disclosed of any rectifi cation, erasure or blocking carried out in compliance with b), unless this proves impossible or involves a disproportionate effort». The Conference wonders why reference is made to impossible or disproportionate effort to exempt the controller to notify third parties of any rectifi cation, erasure or blocking of data. It should be noted that Article 10 requires the Member State to log/document the transmission and reception of data. Furthermore, Article 22 states that appropriate technical measures have to be taken to ensure that, in cases where the controller rectifi es, blocks or erases personal data following a request, a list of the suppliers and addressees of these data is automatically produced. Moreover, the controller shall ensure that those included in the list are informed of the changes performed on the personal data. In view of these two provisions, the Conference wonders why it still could be impossible or diffi cult for the controller to notify third parties of any change related to the data disclosed. Therefore, the sentence «unless this proves impossible or involves a disproportionate effort» should be deleted.
127 13. Tätigkeitsbericht 2005/ 2006 des EDSB Since Chapter IV does not contain special provisions concerning data from another Member State, and in view of the aim to harmonize data protection rules, the right to rectify or erase data should apply to all data processed in a Member State irrespective of their origin. It is then important to ensure Member States undertake mutually to enforce fi nal decisions taken by courts or authorities as referred to in Article 30. In relation to Article 21(2) the Conference refers to the remarks made on Article 19(2). Chapter V, Confi dentiality and security of processing Chapter V of the proposed framework decision deals with confi dentiality (art 23) and security (art 24) of processing, including register (art 25) and prior checking (26). The provisions are generally c onsistent with current EU data protection legislation from Directive 95/46/EC, which reveals a positive approach. Nevertheless, it contains some provisions which do not take into account the specifi c and sometimes very sensitive aspects of the processing of personal data by police and judicial authorities in the third pillar which ought to demand a higher level of protection. Article 23 Article 23, second sentence, contains a provision under which «all persons called upon to work with or within a competent authority of a Member State shall be bound by strict confi dentiality rules». The Conference supports this provision, and calls for the introduction of more specifi c indications as to the type of confi dentiality rules they will have to refer to. The Conference furthermore suggests that this provision should be based on effective legal provisions. In order to create a coherent security framework, the security measures listed in Arti- cle 24(2) should also include an obligation to provide for measures dealing with confi - dentiality at the national level unless «a common level of confi dentiality» is defi ned. Article 24 The Conference has some concerns about the meaning of the last sentence in Article 24 (1), which induces a proportionate relationship between «necessary measures» and «the required effort involved to have them put in place». The recommended measures will thus be weakened by such a restrictive condition. The Conference suggests dele- ting the last sentence. The Conference notes with satisfaction the number of security measures provided for in Article 24(3). It is suggested to add some provisions at point g making it possible to carry out some control over the objective itself of the data processing system.
128 13. Tätigkeitsbericht 2005/ 2006 des EDSB Article 25 The register provided for in Article 25 is similar as the provisions on notifi cation refer- red to in Article 19(1) of the Directive 95/46/CE. However, the Conference notes that the proposed framework decision does not include any obligation of notifi cation. The Conference suggests that notifi cation should be made compulsory, as it is provided for in the Directive 95/46/CE in Article 18 and 19, including provisions referring to the content of notifi cation, appropriate exceptions, and the possible appointment of a data protection offi cer pursuant to national data protection legislation (as in Article 19(2) of Directive 95/46/EC). The conditions and procedures of notifi cation to the supervisory authority should fur- thermore refer to the national legislations in the fi eld of data protection. In view of this it is suggested to replace in Article 25(2) the reference to Members States by the following wording: «The conditions and procedures under which information referred to in paragraph 1 must be notifi ed to the supervisory authority will be specifi ed by national data protection legislation». Article 26 Article 26(3) contains a provision for carrying out «prior checking in the context of preparation either of a measure of the national Parliament or of a measure based on such a legislative measure, which defi ne the nature of the processing and lay down appropriate safeguards». Considering Article 5, requiring a law to legitimate data processing by law enforcement authorities, and the logical and legitimate intervention of data protection authorities in the legislative process in such a sensitive fi eld dealing with the processing of personal data, the Conference recommends that 26(3) should read as follows: «Supervisory authorities shall be consulted on the provisions relating to the protection of individuals’ rights and freedom when drawing up legislative measures in relation to data processing». The Conference also suggests that such a provision should be made coherent with the provisions of Article 30(2) and Article 5. Chapter VII, Supervisory authority and working party on the protection of individuals with regard to the processing of personal data Chapter VII deals with the role of the supervisory authorities and of the new Working Party on the protection of individuals with regard to the processing of personal data. The Conference welcomes the general approach in Chapter VII which has been for- mulated according to the model of Chapter VI in Directive 95/46/EC. This will facilitate the co-operation of the working parties competent for data protection in the fi rst and third pillar.
129 13. Tätigkeitsbericht 2005/ 2006 des EDSB Article 30 The provisions of Article 30 dealing with the supervisory authorities and their tasks are similar to those in Art. 28 (4) of the Directive 95/46/EC. However their tasks in relation to the data subject are not identical. Therefore it is suggested to add the following phrases to Paragraph 4. «Each supervisory authority shall, in particular, hear claims for checks of the lawfulness of data processing lodged by any person. The person shall at any rate be informed that a check has taken place.» It seems appropriate to re-consider the wording of Paragraph 9 as it deals with a pos- sible collision between the powers of supervisory authorities and the independence of the judiciary, whereas this should not be a cause for concern. It is up to national lawmakers, having set out the principle whereby data protection authorities should be enabled to effectively supervise lawfulness of the processing also in the judicial sec- tor, to lay down, based on the respective experience and legal systems, any specifi c mechanisms and procedures that take account of the special institutional role played by the judiciary. Article 31 Paragraph 1 describes the establishment of the working party. It seems that the wor- ding of this paragraph is too limited. Since the objective of the proposed framework decision aims to create a full harmonisation of data protection rules in third pillar, both at national and EU level, this aim should also be refl ected in the wording of this paragraph. The creation of an autonomous body, based on the model used for the Art. 29 Working Party would provide a satisfactory solution for dealing with third pillar questions. In order to maintain a consistent approach in data protection matters, the Conference stresses the need to co-ordinate the work of these two advisory bodies. This can be achieved by stimulating a similar or equal representation in both bodies. In order to ensure the respect of national legislation on this matter, Article 31 ( 2), se- cond indent, should be completed as follows. «The Working Party shall be composed of a representative of the supervisory autho- rity or authorities which he represents, in accordance with the existing national rules regulating the representation.»
130 13. Tätigkeitsbericht 2005/ 2006 des EDSB The Conference underlines the need to guarantee the independent role of the wor- king party. The exchange of information between Member States calls for cooperation between national data protection supervisory authorities and the EDPS. This coope- ration may relate to general matters but could also involve joint inspections or other supervisory tasks. This calls for a forum for these independent supervisory authorities in which it and its secretariat can operate autonomously an independently. V Conclusion To provide for all the necessary guarantees for an adequate level of data protection in conformity with the existing legal framework, the Conference recommends that the proposed framework decision should be amended, taking into account the remarks made in this opinion. The EU Data protection Authorities are, of course, willing to contribute further to the development of this Council Framework Decision.
131 13. Tätigkeitsbericht 2005/ 2006 des EDSB 11.6 Erläuterungen zu Webbugs und zu personalisierten Newsletter Der Eidgenössische Datenschutzbeauftragte (EDSB) wurde im Laufe des Jahres 2004 auf mögliche Datenschutzrisiken im Zusammenhang mit sogenannten «Webbugs» aufmerksam und analysierte daraufhin die Problematik näher. Betrachtet wurden ei- nerseits die auf Internetseiten eingesetzten Webbugs, andererseits personalisierte elektronische Newsletter. Wir haben dazu von Firmen, die diese Techniken benutzen, Informationen eingeholt und eigene Abklärungen im Internet vorgenommen. Dieses Papier erklärt, worum es sich bei Webbugs handelt, stellt die Datenschutzproblematik dar und zeigt Handlungsmöglichkeiten auf. Webbugs auf Internetseiten Webbugs werden im World Wide Web zu verschiedenen Zwecken eingesetzt, so z.B. für Messungen und Beglaubigungen von Website-Nutzungen. Damit können Website- Betreiber nachweisen, wie stark ihr Internetangebot beachtet wird, was für das Wer- begeschäft äusserst bedeutsam ist. Aber auch einfache Zähler (counter), die auf der Website die Anzahl Besucherinnen und Besucher anzeigen, werden oft mit Webbugs realisiert. Webbugs auf Internetseiten sind transparente Bilder, die lediglich aus einem Bildpunkt (Pixel) bestehen. Mit ihrer Hilfe lassen sich folgende Daten ermitteln: • die verwendete IP-Adresse (welche ungefähre Angaben über den geogra- fi schen Ursprung der Surfenden erlaubt) • Datum, Zeit und Dauer des Besuches • technische Spezifi kationen wie Betriebssystem, Art des Browsers, Bild- schirmaufl ösung • zuvor besuchte Seite (referer URL) Der Webbug wird nicht von der eigentlich besuchten, sondern von dritter Seite nach- geladen. Konkret spielt sich das wie folgt ab: Firma Fiktiv möchte die Benutzung ihrer Website messen und betraut eine Firma W mit dieser Aufgabe. Die Firma W misst mittels eines Webbugs auf der Seite von Fiktiv sowohl die Anzahl der Besucherinnen und Besucher als auch deren Bewegungen. IP-Adressen werden allerdings sehr oft dynamisch vergeben, d.h. die User erhalten bei jedem Aufbau einer Verbindung zu
132 13. Tätigkeitsbericht 2005/ 2006 des EDSB ihrem Provider eine neue zugeteilt. Um zu erkennen, ob es sich um einen Besuch desselben Benutzers auf einer Website handelt, wird auf dessen Rechner von Web- sitebetreibern häufi g ein «cookie» – eine kleine Textdatei mit Angaben, die die Identifi - kation ermöglichen – gesetzt, das bei einem späteren Besuch der Website ausgelesen werden kann. Datenschutzproblematik Unterhält die Firma W, um auf das obige Beispiel zurückzugreifen, Webbugs auf ver- schiedenen Websites, erhält sie Informationen über alle vom Websurfer während einer Session (also mit gleich bleibender IP-Adresse) besuchten ursprünglichen Seiten. Allein aufgrund der oben genannten Daten ist es normalerweise nicht möglich, die Person, die eine Internetseite besucht, zu identifi zieren. Nur der Internetprovider ver- fügt über die Information, welcher seiner Kunden zu welcher Zeit welche IP-Adresse benutzt. Er untersteht jedoch dem Fernmeldegeheimnis und darf die Daten seiner Kundinnen und Kunden nicht an Dritte bekannt geben. Der im Internet surfende Benutzer identifi ziert sich allerdings selber, wenn er ein Web- formular ausfüllt. Er bestellt beispielsweise ein Produkt und gibt seinen Namen, sei- ne Adresse und evt. weitere Daten ein. Damit erhielte die Firma W Kenntnis von der Identität des Websurfers. In Verbindung mit Cookies könnten dann auch die während früherer Sessionen unter anderen IP-Adressen besuchten Seiten demselben Websur- fer zugeordnet werden. Personen, die eine Website besuchen, wissen in aller Regel nicht, dass Webbugs ein- gesetzt und welche Datenbearbeitungen vorgenommen werden. Weiter stellt sich die Frage nach dem Inhaber der Datensammlung: Werden Daten durch einen Dritten wie die Firma W bearbeitet, ist zu eruieren, ob der Auftraggeber (Firma Fiktiv) oder der Auftragnehmer (Firma W) als Inhaber gemäss Datenschutzge- setz anzusehen ist. Normalerweise ist es derjenige, der die Daten effektiv bearbeitet. Beschränkt sich die Aufgabe eines Auftragnehmers darauf, für eine genau umschrie- bene Bearbeitung eines vorgegeben Bestandes an Daten die technische Infrastruktur zur Verfügung zu stellen, so bleibt der Auftraggeber Inhaber der Datensammlung. Wenn jedoch der Auftragnehmer selbstbestimmt Datenbearbeitungen vornimmt, in- dem er z.B. Marktforschung für den Auftraggeber betreibt, ist er für diese Bearbei- tungen verantwortlich und gilt als Inhaber. Dies gilt insbesondere, wenn der Auftrag- nehmer für mehrere Auftraggeber tätig ist und Daten von Benutzerinnen und Benut- zern bearbeitet, die ihrerseits die Seiten von mehreren dieser Aufraggeber im Internet
133 13. Tätigkeitsbericht 2005/ 2006 des EDSB besuchen. Denn hier können unter Umständen Persönlichkeitsprofi le erstellt werden, die das Surfverhalten über mehrere Websites offenbaren. Diese Profi le können von grossem kommerziellem Wert sein, und ein Missbrauchspotenzial ist nicht von der Hand zu weisen. Anforderungen an die Anbieter von Internetdienstleistungen (sowohl für die Firma Fiktiv als auch für die Firma W) • Auf der besuchten Internetseite muss ein Hinweis angebracht werden, dass die IP-Adresse, die Zeit, technische Spezifi kationen, das Klickverhal- ten und die URL der vorgängig besuchten Seite nicht nur für die Betreiber der eigentlich besuchten Seite, sondern via Webbugs auch für einen Drit- ten sichtbar sind. • Die Auswertung des Surfverhaltens einer Benutzerin oder eines Benut- zers über mehrere Auftraggeber durch einen Auftragnehmer ist mit tech- nischen und organisatorischen Massnahmen zu verhindern. • Werden Formulare zum Ausfüllen von Personendaten angeboten, sollte eine Technologie angewendet werden, die es erlaubt, die IP-Adresse der surfenden Person und die von ihr erhaltenen Personendaten zu trennen. • Die via Webbug erlangten Daten eines Benutzers (namentlich die IP-Adres- se) sind nur solange zu verwenden, wie dies für den Zweck (z.B. Mes- sungen der Websitenutzung) absolut notwendig ist. Danach muss eine Löschung bzw. Anonymisierung erfolgen, um Rückschlüsse auf reale Per- sonen zu vermeiden. • Die Kombination von Webbugs mit Cookies ist wenn möglich zu vermei- den. Andernfalls muss der Websurfer über die Tatsache und die Risiken dieser Kombination klar informiert werden. • Das Auskunftsrecht gemäss Datenschutzgesetz (DSG) muss jederzeit von den jeweiligen Dateninhabern gewährt werden. Ratschläge an die Benutzerinnen und Benutzer • Sie können im Quelltext der Websites, aber auch mit spezieller Software (z.B. Bugnosis, http://www.bugnosis.org) Webbugs erkennen.
134 13. Tätigkeitsbericht 2005/ 2006 des EDSB • Löschen Sie regelmässig die Cookies auf Ihrem Computer. • Lesen Sie die Datenschutzhinweise sorgfältig und besuchen Sie eine Seite nur dann, wenn Sie mit den Datenbearbeitungen einverstanden sind. • Bei Unklarheiten fragen Sie bei den Anbietern nach bzw. machen Sie das Auskunftsrecht gemäss DSG geltend. Webbugs in personalisierten E-Mail-Newslettern Nicht nur Websites, sondern auch E-mails können «gebuged» sein. Hier dienen Web- bugs dazu, zu erkennen, ob bzw. wann das E-Mail geöffnet wird und welche Links angewählt werden. Eine Firma kann elektronische Newsletter an ihre (potenziellen) Kunden in eigener Regie versenden und verwalten. Es gibt aber auch spezialisierte Anbieter, die im Auf- trag von Firmen umfassende Dienste im Bereich des Versandes und der Verwaltung elektronischer Newsletter erbringen. Da Interessentinnen und Interessenten den Newsletter selber abonnieren, spricht man von «Permisson-Marketing» (Marketing mit Einverständnis der Empfängerin bzw. des Empfängers). Ein solcher spezialisierter Auf- tragnehmer hat möglicherweise Firmenkunden aus den verschiedensten Branchen (wie z.B. Banken, Reisbüros, Automobilhandel). Was ist ein personalisierter E-Mail-Newsletter? Bei der Anmeldung für einen E-Mail-Newsletter gibt der Abonnent seine E-Mail-Adres- se und allenfalls weitere Daten (z.B. Name, Adresse, Interessen etc.) an. Der Einsatz von Webbugs in solchen Newslettern ermöglicht es dem Anbieter festzustellen, ob, wann und wie oft das E-Mail vom Empfänger geöffnet wird. Dies funktioniert jedoch nur, wenn E-Mails im HTML-Format verwendet werden und der Empfänger online ist. Anhand der IP-Adresse können weitere Schlüsse gezogen werden: Etwa, ob der Newsletter im Büro oder zu Hause geöffnet wurde. Aber nicht nur das: Auch die an- gewählten Links werden erkannt, indem sie mit einem speziellen Code pro Empfän- geradresse versehen werden. So können spätere Newsletter individuell angepasst werden, indem z.B. Themen hervorgehoben werden, für die sich der Abonnent früher aufgrund seines Klickverhaltens besonders interessiert hat. Ebenso kann auf die Er- wähnung von Produkten oder Dienstleistungen, denen er keine Beachtung geschenkt hat, verzichtet werden.
135 13. Tätigkeitsbericht 2005/ 2006 des EDSB Datenschutzproblematik Der Anbieter erfährt demnach die Interessen des Empfängers bezüglich der Reakti- onen auf seinen eigenen Newsletter. Das Auswerten der Informationen, ob, wie rasch und wo der Newsletter geöffnet wird, ergibt Hinweise über das Verhalten der betrof- fenen Person. Es ist fraglich, inwieweit dies dem Empfänger als betroffener Person transparent ist. Für Anbieter, die für eine ganze Anzahl von Firmen aus verschiedenen Branchen tätig sind, wäre es grundsätzlich möglich, eine umfassende Auswertung der Interessen einer betroffenen Person durchzuführen. Dies ergäbe – ähnlich wie bei den Webbugs im World Wide Web – hochsensible Personenprofi le. Auf solche Auswer- tungen sind wir jedoch nicht gestossen. Anforderungen an die Anbieter • Wer einen elektronischen Newsletter anbietet, muss gegenüber dem Abonnenten volle Transparenz über die künftigen Datenbearbeitungen herstellen. • Insbesondere muss die betroffene Person darüber im Klaren sein, wenn der Newsletter durch Dritte betrieben wird; hat sie nämlich mehrere News- letter abonniert, könnten diese technisch vom selben Anbieter versorgt werden. • Mit technischen und organisatorischen Massnahmen ist zu verhindern, dass Anbieter Personendaten eines Benutzers über mehrere Firmenkun- den auswerten. • Das Auskunftsrecht gemäss DSG muss jederzeit von den jeweiligen Daten- inhabern gewährt werden. Ratschläge an die Benutzerinnen und Benutzer • Nehmen Sie vor dem Abonnieren eines Newsletters die Datenschutzhin- weise sorgfältig zur Kenntnis. • Fragen Sie im Falle von Unklarheiten bei den Anbietern nach und machen Sie allenfalls das Auskunftsrecht geltend. Nötigenfalls können Sie die For- derungen zivilrechtlich durchsetzen.
136 13. Tätigkeitsbericht 2005/ 2006 des EDSB
137 13. Tätigkeitsbericht 2005/ 2006 des EDSB