1 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter 14. Tätigkeitsbericht 2006/2007
Tätigkeitsbericht 2006/2007 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte hat dem Bundesrat periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen
4 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Dieser Bericht ist auch über das Internet (www.edoeb.admin.ch) abrufbar Vertrieb: BBL, Verkauf Bundespublikationen, CH-3003 Bern www.bbl.admin.ch/bundespublikationen Art.-Nr. 410.014.d/f
3 14. Tätigkeitsbericht 2006/ 2007 des EDÖB
4 14. Tätigkeitsbericht 2006/ 2007 des EDÖB
5 14. Tätigkeitsbericht 2006/ 2007 des EDÖB
6 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Vorwort Allzu häufi g steckt man als Datenschützer in der Rolle des Sisyphos, jener tragischen Figur aus der griechischen Mythologie, welche den Stein immer wieder einen Berg hinaufstosse n musste, obwohl dieser sogleich wieder den Berg hinunterdonnerte: Kaum glaubt man ein Datenschutzproblem gelöst, taucht es in etwas anderer Form gleich wieder auf. So geschehen nach dem langen Seilziehen zwischen dem EDÖB und dem Bundesrat wegen der fehlenden gesetzlichen Grundlagen beim Einsatz von Aufklärungsdrohnen im Dienste des Grenzwachtkorps. Nach diversen Motionen von Parlamentariern scheint nun der Bundesrat trotz anfänglicher Weigerung bereit, den Mangel im Rahmen einer Teilrevision der Militärgesetzgebung zu beheben. Doch das Thema wird uns weiterhin beschäftigen: Mit wachsendem Druck drängen miniatu- risierte ferngesteuerte oder gar GPS-programmierbare Kleinstfl ugzeuge (Helikopter, Drohnen, usw.), ausgerüstet mit hochaufl ösenden Aufnahmegeräten, für allerlei „le- gale“ und vielleicht auch andere Zwecke auf den Markt und verunsichern zunehmend Bürgerinnen und Bürger. Diese Entwicklung Richtung Miniaturisierung der Überwa- chungstechnologie stellt in Zukunft für den Schutz der Privatsphäre eine grosse He- rausforderung dar. Wir werden uns dieser Problematik zusammen mit andern invol- vierten Stellen mit der nötigen Intensität annehmen. Überhaupt bleibt das Thema der zunehmenden Überwachung in mannigfaltiger Aus- gestaltung ein Dauerbrenner: Nicht nur auf nationaler Ebene, wo die Revision der Bun- desgesetzes über die Wahrung der inneren Sicherheit (BWIS), welche einen radikalen Aus bau der Eingriffsmöglichkeiten der Staatsschützer in die Privatsphäre von Bür- gerinnen und Bürger zum Ziel hat, in die heisse Phase der parlamentarischen Bera- tung kommt. Auch auf internationaler Ebene wird der Spielraum für die persönliche Freiheit immer enger. Mit unseren europäischen Datenschutzkollegen werden wir die Entwicklung in Europa zu einer verstärkten polizeilichen und justiziellen Zusammen- arbeit in Strafsachen aufmerksam verfolgen und alles daran setzen, um ein hohes Datenschutzniveau zu gewährleisten. Ins gleiche Kapitel gehen die Datenlieferungen der Swift-Zentrale in Brüssel an US- Behörden im Zeichen der Terrorbekämpfung, die uns im Berichtsjahr stark beschäf- tigten (vgl. Ziff 1.8.1). Kritisiert wurde von unserer Seite, dass die Finanzdienstleister in der Schweiz die Kundendaten an die Zentrale in Belgien lieferten, ohne ihre Kun- dinnen und Kunden zu benachrichtigen. Leider sind bis heute nach wie vor nicht alle Schweizer Bankinstitute der von uns geforderten Transparenzpfl icht na chgekommen. Handlungsbedarf besteht seitens der Schweiz auch in Bezug auf die Aushandlung
7 14. Tätigkeitsbericht 2006/ 2007 des EDÖB eines Abkommens, das Datenschutzregeln für die Lieferung solcher Daten an die USA festschreibt (denn bekanntlich verfügen die USA nach wie vor nicht über Datenschutz- bestimmungen, die denen der Schweiz vergleichbar sind). Hier ist die Politik gefordert. Erfreulich ist, dass – wie Ende März 2007 bekannt wurde – die Swift-Zentrale selber auf Druck der belgischen Datenschutzbehörde bereit ist, sich den Regeln des so ge- nannten Safe-Harbour-Systems zu unterwerfen. Ob damit allerdings bereits ein ausrei- chender Schutz gewährleistet und somit eine Schweizer Initiative nunmehr überfl üssig ist, ist zu bezweifeln. Wir werden die Entwicklung aufmerksam verfolgen. Interessant ist in diesem Zusammenhang, dass bei datenschutzrechtlich heiklen Fragestellungen oft noch andere höchst brisante Probleme mitschwingen können: Neu wurde die Swift jedenfalls Ende März 2007 von deutschen Banken auch deshalb attackiert, weil sie befürchten, dass europäische Überweisungsdaten von den US-Geheimdiensten auch zur Wirtschaftsspionage missbraucht würden. Ein schlagendes Beispiel dafür, dass die Wirtschaft durchaus ein eminentes Interesse an einem funktionierenden Datenschutz haben müsste. Das Gesundheitswesen ist weiterhin eine datenschützerische Grossbaustelle, die nach wie vor viele Kräfte absorbiert. Stichworte sind, um nur die wichtigsten zu nennen: Gesundheitskarte, Versichertenkarte, elektronisches Patientendossier, DRG, Einfüh- rung der Elektronik beim vertrauensärztlichen Dienst. Gerade im Gesundheitswesen mit seinen höchst sensiblen Daten sind im Zeitalter der voll entfalteten Elektronik Datenschutz-GAUs im grösseren Stil zu befürchten, weil der EDÖB aufgrund seiner Ressourcen in diesem Bereich höchstens stichprobenweise oder bei einer bereits eingetretenen Datenschutzverletzung intervenieren und dann lediglich Empfehlungen abgeben kann. Das Bundesamt für Gesundheit (BAG) muss hier seiner Verantwortung als Aufsichtsbehörde mit Weisungsrecht nachkommen. Mit dem Mitte letzten Jahres in Kraft getretenen Öffentlichkeitsgesetz ist uns eine neue Aufgabe zugewiesen worden. Die im Gesetz vorgesehenen Mediationsverfahren zwischen Bürgern und Verwaltung in strittigen Fällen mussten in den ersten sechs Monaten dreimal durchgeführt werden. Obwohl wir diese Verfahren – wie angekündi- gt – ausserordentlich schlank durchführen, so dass von einer eigentlichen Mediation unter fachlichen Kriterien kaum gesprochen werden kann, sind die Verfahren wegen der umfangreichen Dossiers und der oft sehr komplexen Fragestellungen höchst auf- wändig, bis von unserer Seite eine rechtlich haltbare Empfehlung abgegeben werden kann. Immerhin muss diese, wird sie von den Parteien nicht akzeptiert, in einem ge- richtlichen Verfahren den juristischen Härtetest bestehen. In den ersten drei Monaten des Jahres 2007 sind bei uns bereits 13 weitere Gesuche eingetroffen. Bis heute hat der Bundesrat an seinem Entscheid festgehalten, für diese Aufgabe die ursprünglich
8 14. Tätigkeitsbericht 2006/ 2007 des EDÖB in Aussicht gestellten zusätzlichen Stellen nicht zu bewilligen. Der bisherige Aufwand, der noch in diesem Jahr deutlich ansteigen dürfte, konnte nur bewältigt werden, weil die Bundeskanzlerin uns eine zeitlich befristete Stelle aus ihrem Etat zur Verfügung stellte. Trotz dieser Massnahme ist aber zu befürchten, dass die hängigen Gesuche nicht in der vom Gesetz vorgesehenen Frist abgewickelt werden können. Bereits letztes Jahr habe ich darauf hingewiesen, dass mir der im internationalen Ver- glei ch ausserordentlich bescheidene Stellenetat Sorge bereite, zumal wir aufgrund der Sparmassnahmen und der stetig wachsenden Aufgaben zusätzlich unter Druck stehen. Angesichts der Tatsache, dass auf politischer Ebene keine Anzeichen auszumachen waren, die in absehbarer Zeit eine grundsätzliche Änderung versprachen, haben wir im Rahmen einer rigorosen Verzichtsplanung geprüft, wie wir den gesetzlichen Auftrag mit den vorhandenen Mitteln dennoch glaubwürdig erfüllen können. Im Zuge dieser Überprüfung haben wir entschieden, dass wir uns künftig nur noch Datenschutzfragen mit einer grossen Tragweite für die Privatsphäre einer beachtlichen Anzahl von Per- sonen widmen können. Konkret bedeutet dies, dass wir Anfragen von Privatpersonen nicht mehr individuell beantworten werden. Wir wollen aber weiterhin als Klagemauer zur Verfügung stehen und haben deshalb einen täglichen Telefondienst von 10.00 bis 12.00 Uhr eingerichtet. Ausserdem können schriftlich oder per Email Beanstandungen bei uns deponiert werden, die wir dann gemäss ihrer Wichtigkeit und den uns zur Verfügung stehenden Ressourcen bearbeiten werden. Gleichzeitig haben wir unse- re Internetseite als Informationsplattform ausgebaut und hoffen so, jenen rund 1500 Personen, die bei uns bisher jedes Jahr eine individuelle Antwort erhielten, eine eini- germassen akzeptable Alternative zu offerieren. Hanspeter Thür
9 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Abkürzungsverzeichnis AHVG Bundesgesetz über die Alters- und Hinterlassenenversicherung ATSG Bundesgesetz über den Allgemeinen Teil des Sozialversicherungsrechts BAG Bundesamt für Gesundheit BASPO Bundesamt für Sport BAV Bundesamt für Verkehr BGÖ Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung BJ Bundesamt für Justiz BKP Bundeskriminalpolizei BÜPF Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs BV Bundesverfassung BWIS Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit CNIL Commission nationale de l’informatique et des libertés DAP Dienst für Analyse und Prävention DRG Diagnosis-related group DSG Bundesgesetz über den Datenschutz EDA Eidgenössischen Departement für auswärtige Angelegenheiten EDÖB Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖK Eidgenössische Datenschutz- und Öffentlichkeitskommission EFD Eidgenössisches Finanzdepartement EMRK Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten EPA Eidgenössisches Personalamt ESBK Eidgenössische Spielbankenkommission
10 14. Tätigkeitsbericht 2006/ 2007 des EDÖB EVG Eidgenössisches Versicherungsgericht fedpol Bundesamt für Polizei GEWA Datenverarbeitungssystem zur Bekämpfung der Geldwäscherei GWG Bundesgesetz zur Bekämpfung der Geldwäscherei im Finanzsektor HFG Bundesgesetz über die Forschung am Menschen HOOGAN Hooliganismus-Informationssystem IPAS Informatisiertes Personennachweis-, Aktennachweis- und Verwaltungssystem ISB Informatikstrategieorgan Bund ISIS Staatsschutz-Informations-System JANUS Gemeinsames Informationssystem der kriminalpolizeilichen Zentralstellen des Bundes KVG Bundesgesetz über die Krankenversicherung RHG Bundesgesetz über die Harmonisierung der Einwohnerregister und anderer amtlicher Personenregister RIPOL Automatisiertes Fahndungssystem SAMW Schweizerische Akademie der Medizinischen Wissenschaften SBG Bundesgesetz über Glücksspiele und Spielbanken SECO Staatssekretariat für Wirtschaft SIS Schengener Informationssystem StGB Strafgesetzbuch UVG Unfallversicherungsgesetz UWG Bundesgesetztes gegen den unlauteren Wettbewerb VBS Departement für Verteidigung, Bevölkerungsschutz und Sport VDSG Verordnung zum Bundesgesetz über den Datenschutz VDSZ Verordnung über Datenschutzzertifi zierungen
11 14. Tätigkeitsbericht 2006/ 2007 des EDÖB VOBG Verordnung über die Offenbarung des Berufsgeheimnisses im Bereich der medizinischen Forschung VOSTRA Automatisiertes Strafregister VWIS Verordnung über Massnahmen zur Wahrung der inneren Sicherheit ZEMIS Zentrales Migrationsinformationssystem ZentG Bundesgesetz über die kriminalpolizeilichen Zentralstellen des Bundes
12 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1 Datenschutz 1.1 Grundrechte 1.1.1 Verordnungsentwurf für die Datenschutzzertifi zierung Aufgrund ihres Geltungsbereichs, ihrer Tragweite und ihrer relativ komplexen Ausgestaltung sind die Zertifi zierungsanforderungen in ei- ner spezifi schen Verordnung (VDSZ) zusammengestellt worden. Die Zertifi zierung von Organisationen richtet sich für ihr Datenschutz-Ma- nagementsystem weitgehend nach der ISO-Norm 27001, während sich die Produktzertifi zierung auf den seit einigen Jahren im Bundesland Schleswig-Holstein geltenden Anforderungskatalog für die Begutach- tung von IT-Produkten stützt. I m Rahmen der Ausführung des im März 2006 von der Bundesversammlung ange- nommenen neuen Artikels 11 des DSG haben wir unsere Zusammenarbeit mit dem Bundesamt für Justiz und der Schweizerischen Akkreditierungsstelle fortgesetzt mit dem Ziel, die Mindestvoraussetzungen und -anforderungen für die Erlangung einer Datenschutz-Zertifi zierung zu bestimmen. Die Idee der Ausarbeitung einer spezifi schen Zertifi zierungsverordnung (VDSZ) drängte sich wegen der zahlreichen besonderen An- forderungen betreffend die Organisationen/Verfahren wie auch die Produkte/Systeme ziemlich rasch auf. Die ersten Artikel der VDSZ defi nieren die allgemeinen Vorausset- zungen für die Erlangung, Verwendung, Gültigkeit und Anerkennung dieser Daten- schutz-Zertifi zierungen, sowie die jeweiligen Aufgaben der verschiedenen betroffenen Partner. Bekanntlich geht man vom Grundsatz aus, dass bei einem zum Zeitpunkt des Audits als regelkonform anerkannten Datenschutzniveau und einem aktiven und do- kumentierten Entwicklungsmanagement eine Datenschutzzertifi zierung für die Dauer einiger Jahre ausgestellt werden kann (vgl. Ziffer 1.1.1 in unserem 13. Tätigkeitsbericht 2005/2006). F ür die Zertifi zierung von Organisationen haben wir unseren Entwurf für ein Refe- renzmodell einer Arbeitsgruppe vorgelegt, die sich aus mehreren schweizerischen Fir- men für die Zertifi zierung von Organisationen gemäss den Managementsystemen ISO 9001:20 00 (Qualität) und 27001:2005 (Informationssicherheit) zusammensetzte. An- hang 1 der VDSZ enthält eine Anpassung und Erweiterung der Anforderungen von ISO 27001 entsprechend den auf dem DSG beruhenden Bedingungen, so dass damit ein eigentlicher Anforderungskatalog für die Datenschutz-Managementsysteme (DSMS)
13 14. Tätigkeitsbericht 2006/ 2007 des EDÖB vorliegt. Kapitel 3 umfasst insbesondere die folgenden zehn Datenschutz-Prinzipien oder -Anforderungen: Rechtmässigkeit – Transparenz – Verhältnismässigkeit – Zweck – Richtigkeit – Bekanntgabe ins Ausland – Datensicherheit – Bearbeitung durch Dritte – Liste der Datensammlungen – Zugriffsrecht. Nach dem Beispiel der Zertifi zierung ISO 27001, die vollumfänglich auf dem Leitfaden ISO 17799:2005 für das Management der Informationssicherheit beruht (11 Bereiche, 3 9 Zielsetzungen und 133 Massnahmen) werden wir einen ergänzenden Leitfaden für das Management und die Zertifi zierung des Datenschutzes veröffentlichen und aktualisieren. Dieser wird ausschliesslich dem Datenschutz und der Vertraulichkeit der Personendaten gewidmet sein (ursprüngliche generische Massnahme 15.1.4 der Norm 17799:2005) und soll mit Hilfe von rund zwanzig spezifi schen, genau nach den ISO-Empfehlungen strukturierten Massnahmen die Verwirklichung der oben genann- ten zehn Datenschutzziele ermöglichen. Für die Produktzertifi zierung haben wir uns – in Ermangelung wirklich geeigneter und anerkannter internationaler Normen – für den Anforderungskatalog für die Begutachtung von IT-Produkten im Rahmen des in S chleswig-Holstein geltenden Zertifi zierungsverfahrens entschieden. Die Gliederung der Anforderungen in vier verschiedene logische Komplexe (Technikgestaltung – Zu- lässigkeit – technische und organisatorische Massnahmen – Rechte der betroffenen Person) hat uns besonders überzeugt, ebenso wie die Tatsache, dass ein getrenntes Anforderungsprofi l für die Randdaten (logdata) vorgesehen ist. Diese stellen nämlich zusätzliche Datensammlungen dar, deren Zweckbestimmung und Bearbeitungsbedin- gungen grundsätzlich anders sind als für die Hauptdatensammlung. Anhang 2 der VDSZ sollte somit eine Anpassung dieses in Norddeutschland bereits bewährten An- forderungskatalogs an das schweizerische Recht enthalten. Schliesslich umfasst die VDSZ auch einen Anhang 3, der den Anforderungen an die Qualifi kation des Personals der Zertifi zierungsunternehmen gewidmet ist, sowie ei- nen Anhang 4, in dem die Qualitätszeichen aufgeführt werden, die der Bund für die vollständige oder teilweise Zertifi zierung von Organisationen und für die Produktzerti- fi zierung vorschlägt. Die Verwendung und Anerkennung von privaten Qualitätszeichen werden ebenfalls in der Verordnung geregelt. Das externe Vernehmlassungsverfahren z u diesen Verordnungen wurde Ende Februar 2007 durch das BJ eröffnet. Sehr zu unserem Erstaunen und Bedauern haben wir kurz vor Redaktionsschluss des vorlie- genden Berichts erfahren, dass die Anhänge 1, 2 und 4 gestrichen wurden.
14 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.1.2 Harmonisierung amtlicher Personenregister und Verwendung der neuen AHV-Versichertennummer als Personenidentifi kator Die neue AHV-Versichertennummer wird als Sozialversicherungsnum- mer und administrative Personenidentifi kationsnummer in den harmo- nisierten Registern verwendet werden. So hat es das Parlament ent- schieden. Auch in den Kantonen soll diese Nummer eine systematische Verwendung fi nden. Das Bundesamt für Statistik (BFS) hat im Bereich Personenidentifi kator bereits meh- rer e Projekte ausgearbeitet, die jedes Mal Konsultationen unterzogen wurden (vgl. hierzu unseren 13. Tätigkeitsbericht 2003/2004, Ziffer 1.2.1). Nun hat das Parlament entschieden: Das Bundesgesetz über die Harmonisierung der Einwohnerregister und an derer amtlicher Personenregister (RHG) sowie die Revision des Bundesgesetzes über die Alters- und Hinterlassenenversicherung (AHVG) sehen vor, dass die neue AHV-Versichertennummer einerseits als Sozialversicherungsnummer, andererseits aber auch als administrative Personenidentifi kationsnummer verwendet werden soll. Die Gesetze wurden am 23. Juni 2006 verabschiedet. Wir haben im Rahmen von Ämterkonsultationen und anlässlich von parlamentarischen Sitzungen zu den Gesetzesentwürfen Stellung genommen und eine alternative Lösung aufgezeigt. Dabei standen folgende Überlegungen im Vordergrund: Die Vermischung von Statistik und Verwaltungsanliegen ist aus Sicht des Persönlic h- keitsschutzes besonders heikel. Die Statistik braucht pseudonymisierte Daten aus mög- lichst vielen Quellen bzw. Registern. Die Verwaltung hingegen braucht möglichst ge- naue, personenbezogene Daten. Die Einführung einer registerübergreifenden Persone- nidentifi kationsnummer (in Form der neuen AHV-Versichertennummer) erleichtert die Verknüpfbarkeit von personenbezogenen Daten aus verschiedenen Registern. Durch diese Verknüpfbarkeit ist die Erkennbarkeit der Datenbearbeitung für die Betroffenen nicht mehr gewährleistet. Das österreichische Modell (abrufbar unter: http://www.cio.gv.at/egovernment/umbrella/)
15 14. Tätigkeitsbericht 2006/ 2007 des EDÖB verwendet aus einer verschlüsselten Stammzahl abgeleitete bereichsspezifi sche Per- sonenkennzeichen. Ein solches Modell bringt klare Vorteile für ein zukünftiges E-Go- vernment in der Schweiz. Deshalb braucht es unseres Erachtens eine technische In- frastruktur, die es erlaubt, statistische und administrative Zwecke klar zu trennen, und die gleichzeitig dafür sorgt, dass ein nicht vorgesehener Datenaustausch innerhalb der Verwaltung auch technisch ausgeschlossen werden kann. Das österreichische Modell wurde während den parlamentarischen Arbeiten zum RHG und AHVG von uns vorge- stellt und erläutert, jedoch leider nicht als Lösung für die Schweiz berücksichtigt. Nachdem die Gesetze nun verabschiedet wurden, folgt die Erarbeitung der Ausfüh- rungsbestimmungen sowie die Umsetzung der Registerharmonisierung in den Kanto- nen. Der Kanton Bern hat in diesem Zusammenhang eine Vorreiterrolle eingenommen. Der Grosse Rat hat das Gesetz über die Harmonisierung amtlicher Register (RegG) am 28. November verabschiedet. In seinem Artikel 9 sieht das Gesetz die systematische Verwendung der Versichertennummer nach AHVG vor. Nachdem auch in anderen Kantonen Gesetzesvorhaben zur Registerharmonisierung ber eits vorliegen oder vorliegen werden, haben wir zusammen mit „privatim - die schweizerischen Datenschutzbeauftragten“, einem Zusammenschluss der kantonalen und kommunalen Datenschutzbeauftragten, eine Stellungnahme zur Verwendung der AHV-Versichertennummer in den Kantonen abgegeben. Aus Sicht des Datenschutzes ist die Verwendung der AHV-Versichertennummer in den Kantonen als genereller Per- sonenidentifi kator durch eine sorgfältige Gesetzgebungsarbeit demokratisch zu legi- timieren. Denn eine generelle Ermächtigung in einem Gesetz für die Verwendung der AHV-Versichertennummer in der gesamten kantonalen Verwaltung ist unzulässig. Die Ausbreitung der AHV-Versichertennummer als Universalnummer birgt hohe Risiken für die Privatsphäre der Bürgerinnen und Bürger, weil sie unerwünschte Verknüpfungen ermöglicht. Auch das Bundesamt für Sozialversicherung hat sich in diesem Sinne geä- ussert. Bereits im Dezember 2002 haben wir bei Prof. Giovanni Biaggini ein Gutachten eingeholt zum Thema „Ein Personenidentifi kator im Lichte des verfassungsrechtlichen Persönlichkeitsschutzes (Art. 13 BV)“. Diese Stellungnahmen und Gutachten sind ab- rufbar unter: http://www.edoeb.admin.ch/themen/00794/00819/01081/index.html?lang=de).
16 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.1.3 Öffentliche Bekanntgabe von Informationen durch ein Bundesamt Ein Bundesamt ist berechtigt, selbst ohne Einwilligung des Betroffenen persönliche Daten im Rahmen der behördlichen Öffentlichkeitsinfor- mation bekannt zu geben. Voraussetzung ist allerdings, dass diese In- formationen mit der Erfüllung öffentlicher Aufgaben zusammenhängen und dass die Bekanntgabe einem überwiegenden öffentlichen Interes- se entspricht. In jedem Einzelfall ist auf die Einhaltung der allge meinen Datenschutzgrundsätze, insbesondere des Verhältnismässigkeitsprin- zips, zu achten. Ein Bundesamt gelangte mit der Frage an uns, ob ihm aufgrund der Datenschutzge- setzgebung gestattet sei, von der Presse übernommene Fehlinformationen zu einem Einzeldossier durch Bekanntgabe gewisser Elemente dieses Dossiers zu berichtigen, um die Öffentlichkeit über den tatsächlichen Sachverhalt aufzuklären. Die von einem Bundesorgan vorgenommene Richtigstellung von Fehlinformationen, die von den Medien verbreitet und übernommen wurden, bildet, soweit diese Infor- mationen eine bestimmte Person nennen oder auf deren Identität schliessen lassen, eine Bekanntgabe von Personendaten im Sinne von Art. 19 DSG und muss innerhalb des gesetzlichen Rahmens erfolgen. Laut Art. 19 DSG dürfen Bundesorgane Personendaten nur bekannt geben, wenn dafür eine Rechtsgrundlage besteht oder in ganz bestimmten, im DSG ausdrücklich vorgese- henen Fällen, namentlich wenn die betroffene Person ihre Einwilligung dazu gegeben ihre Daten allgemein zugänglich gemacht hat. Seit dem 1. Juli 2006 ist der rechtliche Rahmen von Art. 19 DSG erweitert worden, so dass die Bundesorgane nunmehr im Rahmen der behördlichen Information der Öffentlichkeit von Amtes wegen oder ge- stützt auf das Öffentlichkeitsgesetz auch Personendaten bekannt geben dürfen, wenn die betreffenden Daten im Zusammenhang mit der Erfüllung öffentlicher Aufgaben stehen und an deren Bekanntgabe ein überwiegendes öffentliches Interesse besteht. In jedem Einzelfall ist zu beurteilen, ob und in welchem Masse die Bekanntgabe von Personendaten im Rahmen der behördlichen Information der Öffentlichkeit gerecht- fertigt ist. Es muss namentlich auf die Einhaltung der allgemeinen Datenschutzgrund- sätze geachtet werden, insbesondere des Prinzips der Verhältnismässigkeit: die Per- so nendaten müssen beispielsweise so weit wie möglich anonymisiert werden; es dürfen lediglich die für die Information der Öffentlichkeit unbedingt notwendigen Per- sonendaten bekannt gegeben werden.
17 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.1.4. Vote électronique: Papierausdruck elektronischer Stimmen (Paper Trail) Ein heikler Punkt im Zusammenhang mit Vote électronique ist die Frage der Nachvollziehbarkeit der Stimmabgaben. Wir haben die Problematik mit den involvierten Bundesstellen erörtert. Sie soll nun in der Arbeits- gruppe Vote électronique besprochen werden. Di e Bundeskanzlei führt seit mehreren Jahren gemeinsam mit den Kantonen Genf, Neuenburg und Zürich Pilotprojekte zur elektronischen Stimmabgabe (vote électro- nique) durch. Sie hat im Mai 2006 dem Bundesrat zu Handen des Parlaments einen Bericht über die Ergebnisse der Evaluation dieser Pilotprojekte unterbreitet. Sie zieht grundsätzlich eine positive Bilanz und wünscht einen Ausbau des Vote électronique. Ein heikler Punkt in diesem Zusammenhang ist die Frage der Nachvollziehbarkeit der St immabgaben und der Forderung eines Papierausdrucks der elektronischen Stim- men (Paper Trail; vgl. dazu auch unseren 9. Tätigkeitsbericht 2001/2002, Ziffer 1.1). Die Bundeskanzlei hat Vertreter des EDÖB und des Informatikstrategieorgans Bund (ISB) zu einer Besprechung eingeladen, um die Aspekte Stimmgeheimnis, Datenschutz und Informatiksicherheit einerseits und die Forderung nach einem Paper Trail andererseits zu erörtern. Da s detaillierte Verfahren zur Behandlung der Problematik des Paper Trail und der Nachvollziehbarkeit soll in der Arbeitsgruppe Vote électronique besprochen werden.
18 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.1.5 E-Government und Datenschutz Im Rahmen einer in Bellinzona organisierten Tagung zum Thema E-Go- vernment waren wir eingeladen worden, einen Beitrag zu den Diskus- sionen einzubringen. Die Tagung war Teil der Veranstaltung „Tecnologia e Diritto“ (Technologie und Recht), die jedes Jahr von der Höheren Fach- schule für Wirtschaftsinformatik Bellinzona durchgeführt wird. E-Government ist ein strategisches Ziel des Bundes. Es ist ein typischer Fall einer mul- tidisziplinären Materie, die sowohl mit Recht als auch mit Informatik zu tun hat und Herausforderungen für den Datenschutz mit sich bringt. Die E-Government-Projekte könnten theoretisch den gesamten Verkehr zwischen den B ehörden (Bund, Kanton und Gemeinden) und den Bürgerinnen und Bürgern abde- c ken; ihr Ziel ist eine Optimierung der verschiedenen Dienste. Ein klassisches Beispiel ist die Anmeldung eines Wohnsitzwechsels; dieser Vorgang könnte über Internet ab- gewickelt werden und den Betroffenen ein persönliches Erscheinen bei den verschie- denen Gemeindekanzleien ersparen. Diese Art Projekte bringt nicht nur Vorteile, sie birgt auch datenschutzbedingte Risiken (im erwähnten Fall muss zum Beispiel vermie- den werden, dass die fraglichen Daten von unbefugten Dritten abgefangen werden können). Um die Diskussion und das Verständnis für diesen Bereich zu verbessern und zu ver- vollständigen, beschloss die Höhere Fachschule für Wirtschaftsinformatik Bellinzona, ihre jährliche Veranstaltung „Tecnologia e Diritto“ (Technologie und Recht) im Jahr 2006 dem Thema E-Government zu widmen und eine Delegation des EDÖB einzuladen, wel- che die Risiken für den Datenschutz auf diesem Gebiet erläutern sollte. Wir nahmen di- ese Gelegenheit wahr, um auch die neuesten Entwicklungen betreffend die Einführung einer persönlichen Einheitsnummer (vgl. Ziffer 1.1.2) sowie die österreichische Lösung vorzustellen (vgl. unseren 13. Tätigkeitsbericht 2005/2006, Ziffer 1.2.1).
19 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.1.6. Publikation von Bundesgerichtsentscheiden im Internet Urteile des Bundesgerichtes (sowie des fusionierten Eidgenössischen Versicherungsgerichtes) werden inzwischen bis zurück ins Jahr 1954 im Internet publiziert. Die Entscheide sind teilweise nicht anonymi- siert und können sensible Personendaten enthalten. In solchen Fällen empfi ehlt es sich, eine Anonymisierung der Online-Publikation zu ver- langen. Die grundsätzliche datenschutzrechtliche Problematik der Publikation von Bundesge- richtsurteilen haben wir bereits in unserem 9. Tätigkeitsbericht 2001/2002 (Ziffer 2.3.3) behandelt. Damals ging es um die Urteile, die ab 2000 ins Netz gestellt wurden. Hier soll ein spezieller Punkt angesprochen werden, nämlich die älteren Urteile, die ge- fällt wurden, als noch niemand an eine spätere elektronische Publikation dachte. Auch solche Urteile des Bundesgerichtes bzw. des Eidgenössischen Versicherungsgerichtes (EVG) werden mittlerweile im Internet (www.bger.ch) publiziert. Eine Person hat festgestellt, dass bei der Eingabe ihres Namens und Vornamens in Internetsuchmaschinen innert Kürze ein Urteil des EVG aus den 80er-Jahren im Volltext gefunden wurde. In diesem Urteil wurden äusserst sensible Daten insbesondere über den Gesundheitszustand dieser Person publiziert. Das Urteil war zwar in Papierform veröffentlicht worden und ist somit der Allgemeinheit zugänglich. Die Internetpublika- tion hat nun aber eine neue Qualität gebracht: Eine Suche ist mit geringstem Aufwand in kurzer Zeit und weltweit möglich. Die betroffene Person hat sich an das Gericht gewandt und um die Anonymisierung des Urteils gebeten. Diese konnte erfreulicherweise auch erreicht werden. Zu beach- ten ist, dass ein Entscheid des Bundesgerichts bzw. des EVG auch dann nicht zwin- gend aus dem Netz verschwindet, wenn er in der offi ziellen Internetpublikation ano- nymisiert wird. Denn es gibt andere Organisationen, die Urteile publizieren und diese in einer eigenen Datenbank verwalten. Eine Anonymisierung ist also gegebenenfalls auch direkt bei diesen Anbietern zu verlangen.
20 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.2 Datenschutzfragen allgemein 1.2.1 Verhaltenskodex im Bereich Pervasive Computing Im Laufe des ersten Halbjahrs 2006 beteiligten wir uns an einem multi- disziplinären Gedankenaustausch zum Thema Pervasive Computing, zu dem sich neben Datenschutzexperten auch Vertreter von Konsumen- tenschutzverbänden, Universitäten und privaten Organisationen oder Firmen zusammengefunden hatten. Dank der Zusammenarbeit dieser Vielzahl von Personen aus verschiedenen Fachrichtungen konnten all- gemeine Orientierungen für die Verwendung der Technologien für Per- vasive Computing und spezifi sche Regeln in drei möglichen Anwen- dungssektoren festgelegt werden. Auf Initiative der Organisationen Stiftung Risiko-Dialog, Stiftung für Datenschutz und Informationssicherheit und ICT Switzerland kam es im Verlauf des ersten Halbjahrs 2006 zu einem multidisziplinären Dialog im Bereich Pervasive Computing. Die an uns gerichtete Einladung zur Teilnahme an diesen Gesprächen haben wir angesichts des in diesen neuen Technologien liegenden Potenzials für eine Beeinträchtigung der Pri- vatsphäre gerne angenommen. Ziel dieses Gedankenaustausches waren namentlich die Analyse der mit diesen Anwendungen verbundenen Auswirkungen und Risiken und die Festlegung von allgemeinen Orientierungen auf diesem Gebiet sowie von spe- zifi schen Regeln für bestimmte Sektoren wie etwa den medizinischen Bereich, den Detailhandel oder den Transportbereich. Wir wirkten in der Arbeitsgruppe mit, die sich mit dem Sektor Einzelhandel befasste. Die Hauptanwendung von Pervasive Computing in diesem Bereich wird aller Wahr- sc heinlichkeit nach die Etikettierung sämtlicher Produkte mit RFID-Chips sein. Mit einer solchen Anwendung wird es möglich sein, jedes Produkt eindeutig zu lokalisieren und zu identifi zieren, ohne dass dafür Sichtkontakt erforderlich ist. Dies wird namentlich ein neues Instrument in der Diebstahlbekämpfung darstellen. Für die Unternehmen beschränken sich die Vorteile jedoch nicht darauf: so wird beispielsweise die Ladenin- ventur dadurch verbessert und vereinfacht. Überdies können die von den Kunden innerhalb des Geschäfts zurückgelegten Wege leicht nachvollzogen und damit die An- ordnung der zum Verkauf angebotenen Produkte optimiert werden.
21 14. Tätigkeitsbericht 2006/ 2007 des EDÖB In einigen Ländern haben Unternehmen bereits Versuche mit der Einführung einer der- artigen Anwendung begonnen; aufgrund heftiger Proteste der Kundschaft gegen diese als übermässige Beeinträchtigung der Privatsphäre empfundene Neuerung sahen sie sich jedoch gezwungen, diese wieder rückgängig zu machen. Dank der Diskussionen zwischen den verschiedenen Partnern war es möglich, nütz- liche, ausgewogene und befriedigende Orientierungen für den Einsatz solcher Anwen- dungen zu geben. Initiativen dieser Art sind zu begrüssen und bieten eine gute Gelegenheit, potenzielle Pr obleme im Zusammenhang mit einer Verletzung der Privatsphäre möglichst pro- aktiv zu vermindern. Obwohl die Ergebnisse dieses Gedankenaustausches noch zu wenig konkret sind, als dass sie einen eigentlichen Verhaltenskodex bilden könnten, ist dieses Vorgehen unseres Erachtens ein erster Schritt in die richtige Richtung. Eine Fortsetzung der Bemühungen auf diesem Gebiet wäre für die Zukunft wünschens- wert.
22 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.2.2 Der Einsatz von Aufklärungsdrohnen Der Bundesrat hat den Einsatz von Aufklärungsdrohnen und mit In- frarot-System ausgerüsteten Helikoptern zugunsten des Grenzwacht- korps gutgeheissen. Nun muss die rechtliche Grundlage für den Ein- satz militärischer Aufklärungsmittel zu zivilen Zwecken geschaffen werden. Bereits im letzten Jahr haben wir uns mit dem Einsatz von Aufklärungsdrohnen be- schäftigt: Auf Begehren der Zollverwaltung sollten Aufklärungsdrohnen der Armee für die Luftaufklärung im Grenzraum zugunsten des Grenzwachtkorps eingesetzt werden (s. unseren 13. Tätigkeitsbericht 2005/2006; Ziffer 2.2.1). Wir sind der Meinung, dass weder das Militärgesetz noch das Zollgesetz eine hinreichende gesetzliche Grundlage für den Drohneneinsatz beinhalten. Wir sprechen uns nicht grundsätzlich gegen einen solchen aus, verlangten aber, dass der Bundesrat zum einen den Überwachungsein- satz bewilligt und zum andern die notwendigen gesetzlichen Grundlagen zuhanden de s Parlaments ausarbeiten lässt. Demgegenüber stellte sich das Eidgenössische Finanzdepartement (EFD) auf den Standpunkt, dass das Zollgesetz eine genügende gesetzliche Grundlage darstelle, und weigerte sich schliesslich, einen entsprechenden Bundesratsantrag auszuarbeiten. In der Folge nahm sich das Eidgenössische Departement für Verteidigung, Bevölke- rungsschutz und Sport (VBS) der Angelegenheit an und bereitete in Absprache mit uns einen entsprechenden Bundesratsantrag vor. Im Juli 2006 erteilte der Bundesrat die Bewilligung zum Einsatz von Aufklärungsdrohnen und mit einem speziellen Infrarot- System ausgerüsteten Helikoptern (so genannter FLIR Super Puma) zur Überwachung der Landesgrenze. Mit dem Infrarot-System können Wärmequellen erkannt werden, was das Auffi nden und Verfolgen von Personen ermöglicht. Gemäss Bundesrat sol- len die beiden Überwachungsmittel nur punktuell eingesetzt werden. Zudem dürfen gemäss Bundesratsbeschluss bis zum Inkrafttreten des neuen Zollgesetzes und der revidierten Verordnung über die Geländeüberwachung mit Videogeräten keine Daten aufgez eichnet werden. Gestützt auf diese Bewilligung haben das Grenzwachtkorps und die Armee eine Leistungsvereinbarung unterzeichnet, welche die Abläufe, Verant- wortlichkeiten und Einsätze regelt. In derselben Angelegenheit wurde eine Motion (05.3805) eingereicht, mit welcher der Bundesrat beauftragt werden sollte, dem Parlament eine Gesetzesgrundlage im formellen Sinne für den Einsatz von Drohnen im Dienste des Grenzwachtkorps zu unterbreiten. In einem Mitbericht zuhanden des Bundesrates haben wir aufgezeigt, dass bis anhin keine gesetzlichen Grundlagen für den Drohneneinsatz vorliegen. In
23 14. Tätigkeitsbericht 2006/ 2007 des EDÖB seiner Stellungnahme vom Mai 2006 vertrat der Bundesrat die Ansicht, dass für den Einsatz technischer Überwachungsmittel eine explizite formell-gesetzliche Grundlage im neuen Zollgesetz besteht. Des Weiteren führte er aus, dass er im Rahmen der Aus- führungsbestimmungen die Verwendung präzisieren und so sicherstellen werde, dass der Einsatz verhältnismässig erfolge. Inzwischen scheint der Bundesrat sein Meinung insofern geändert haben, als er sich bereit erklärt hat, im Rahmen der Teilrevision der Militärgesetzgebung (resp. im neu zu schaffenden Bundesgesetz über die militärischen Informationsmittel) eine formell-ge- setzliche Grundlage für den Einsatz von Aufklärungsmitteln für zivile Zwecke zu schaf- fen (s. Ziffer 1.2.3). Die Frage, wann, wo und wie derartige Überwachungsgeräte der Armee auch zu zivilen Zwecken eingesetzt werden können, wird uns in Zukunft wohl immer öfters beschäftigen: Der Bundesrat hat den Einsatz von Aufklärungsdrohnen und des FLIR Super Pumas im Rahmen der EURO 08 gutgeheissen (s. Ziffer 1.3.5). 1.2.3 Revision des Militärgesetzes Der Bundesrat hat den Entwurf zum Bundesgesetz über die militä- rischen Informationssysteme in die Vernehmlassung geschickt. Wir konnten unsere Anliegen überwiegend einbringen; eine grosse Diffe- renz besteht indessen noch bei den Überwachungsmitteln. Das E idgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) hat die vom Bundesrat geforderte Teilrevision des Militärgesetzes im Berichtsjahr fortgesetzt (s. dazu auch unseren 13. Tätigkeitsbericht 2005/2006; Ziffer 2.2.2). Zu die- sem Zweck sollten laut VBS die den Datenschutz betreffenden Bestimmungen im Mili- tärgesetz angepasst werden. Zusammen mit dem Bundesamt für Justiz haben wir die Ansicht vertreten, dass die verschiedenen Informationssysteme der Armee und der Militärverwaltung in einem eigenen Gesetz zusammengefasst werden sollten. Das VBS schloss sich dieser Sichtweise an und legte schliesslich einen Entwurf zum Bundes- gesetz über die militärischen Informationssysteme vor. Dieses Gesetz soll künftig die formellrechtliche Grundlage für die einzelnen militärischen Informationssysteme bil- den. Entsprechend der Forderung des Datenschutzgesetzes nach einer hinreichenden g esetzlichen Grundlage muss dieses Gesetz für jedes einzelne Informationssystem den Bearbeitungszweck und den Umfang der Datenbearbeitung in groben Zügen fest- halten sowie die am Informationssystem Beteiligten (Datenbearbeiter, allfällige Daten- empfänger) ausdrücklich bezeichnen. Soweit in den Informationssystemen besonders schützenswerte Personendaten oder Persönlichkeitsprofi le bearbeitet werden, müs- sen die Kategorien der bearbeiteten Daten im Bundesgesetz aufgeführt werden.
24 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Nach langen Diskussionen konnten wir uns mit dem VBS in den meisten Punkten auf datenschutzkonforme und für beide Seiten annehmbare Lösungen einigen. Eine gros- se Differenz besteht in Bezug auf den Einsatz von Überwachungsmitteln (wie Droh- nen, Wärmebildkameras, Infrarotsuchgeräte). Wir haben uns gegen einen Wortlaut gewehrt, der lediglich festhält, dass „mobile oder fest installierte, boden- oder luftge- st ützte, bemannte oder unbemannte Überwachungsgeräte und -anlagen“ eingesetzt werden können. Damit würde unseres Erachtens eine Generalklausel für jede Form der staatlichen Überwachung ohne jegliche Einschränkungen geschaffen. In einem liberal-demokratischen Rechtsstaat ist jede Form der staatlichen Überwa- c hung ein schwerwiegender Eingriff in grundrechtlich geschützte Bereiche seiner Bürgerinnen und Bürger. Schwerwiegende Eingriffe müssen demokratisch legitimiert und daher in einem Gesetz im formellen Sinne vorgesehen und konkretisiert sein. Das Bundesgesetz muss die Art der Überwachung spezifi zieren und ihre Rahmenbe- dingungen regeln. Mit andern Worten müssen die eingesetzten Überwachungsgeräte benannt und Art sowie Zweck der Überwachung im Bundesgesetz aufgeführt werden. Zudem muss ebenso klar festgehalten werden, welche Behörden zur Überwachung berechtigt sind, und ob sie Überwachungen auch zugunsten anderer Behörden oder sogar Privaten vornehmen dürfen. Diese Anforderungen sind keineswegs utopisch. So sind sie etwa im Bereich der Überwachung des Post- und Fernmeldeverkehrs un- bestritten: Der Gesetzgeber hat im gleichnamigen Bundesgesetz (Überwachung des Post- und Fernmeldeverkehrs BÜPF) die Zulässigkeit und die Modalitäten der Über- wachung ausführlich geregelt. Gleiches fordern wir auch für die militärischen Über- wachungsgeräte. Das VBS hat den Entwurf zum Bundesgesetz über die militärischen Informationssy- s teme dem Bundesrat vorgelegt, der ihn in einer Vernehmlassung der breiten Öf- fentlichkeit zur Diskussion unterbreitet hat. Wir gehen davon aus, dass die Frage des verdeckten oder offenen Einsatzes von militärischen Überwachungsmitteln zu mili- tärischen oder zivilen Zwecken spätestens bei der Behandlung des Bundesgesetzes über die militärischen Informationssysteme im Parlament viel zu reden geben wird.
25 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.2.4 Revision der Zollverordnung Biometrische Daten sind grundsätzlich besonders schützenswerte Per- sonendaten. Darum muss in einem Gesetz festgelegt werden, welche biometrischen Daten zu welchem Zweck von einer Behörde bearbeitet werden dürfen. Im Rahmen der Revision der Zollverordnung haben wir insbesondere darauf geachtet, dass die biometrischen Daten wie auch die zulässigen Bearbeitungsmodalitäten zumindest im Ausführungser- lass aufgeführt werden. Biometrische Daten haben in den letzten Jahren stark an Bedeutung gewonnen. Es hat in diesem Bereich eine Entwicklung gegeben, welche vor einigen Jahren noch nicht abs ehbar war (z.B. Aufnahme biometrischer Daten im Schweizer Pass, DNA-Profi l- Datenbank). Wir haben bereits in der Ämterkonsultation zum Ausweisgesetz auf diese noch nicht vollends abgeschlossene Entwicklung in der Biometrie hingewiesen und den äussert sensiblen Charakter biometrischer Daten hervorgehoben. Daher vertraten wir die Meinung, dass in der Regel in einem formell-rechlichen Erlass, d.h. in einem Bundesgesetz, festgehalten werden muss, welche biometrischen Daten von Behörden bearbeitet werden dürfen. Konsequenterweise haben wir im Rahmen der Vorarbeiten zur Revision der Zollver- ordnung darauf hingewiesen, dass die in Art. 226 dieser Verordnung festgehaltenen biometrischen Merkmale eigentlich im Zollgesetz hätten aufgeführt werden müssen. Da das vor kurzem revidierte Zollgesetz aber lediglich davon spricht, dass der Bundes- rat festlegt, welche biometrischen Daten abgenommen werden dürfen, forderten wir, dass die einzelnen biometrischen Daten und die zulässigen Bearbeitungsmodalitäten (inkl. eine allfällige Datenweitergabe und die Dauer der Aufbewahrung) biometrischer Daten in der Zollverordnung genau umschrieben und festgelegt werden. Nach län- geren Diskussionen konnten wir uns mit der Zollverwaltung darauf einigen, welche bi- ometrischen Daten zur Feststellung der Identität von Personen an der Grenze bearbei- tet werden dürfen. Es sind dies Finger- und Handballenabdrücke, das DNA-Profi l und Gesichtsbilder. Wir haben Wert darauf gelegt, dass dabei diejenigen Bundesgesetze aufgeführt werden, welche die Bearbeitung biometrischer Daten ausführlich regeln. Wir haben uns gegen das Sammeln auf Vorrat des Irismusters durch die Zollbehörden ausgesprochen. Zum heutigen Zeitpunkt besteht in der Schweiz unseres Wissens kei- ne Irismusterdatensammlung, und weder die EU noch die USA verlangen, dass dieses biometrische Datum im Pass aufgeführt wird. Ein Sammeln ist daher nicht zweckmäs- sig und verstösst gegen das Datenschutzgesetz.
26 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Gemäss Zollgesetz müssen Verkehrsunternehmen der Zollverwaltung Einsicht in alle Unterlagen und Aufzeichnungen gewähren, die für die Zollprüfung von Bedeutung sein können. Dies erlaubt den Zollbehörden, von den Unternehmen Passagier- und Waren- listen herauszuverlangen. Wir haben durchgesetzt, dass diese Listen nicht wie von der Zollverwaltung gewünscht während drei Wochen, sondern lediglich während 72 Stunden aufbewahrt werden dürfen. 1.2.5 Die Teilrevision des Betäubungsmittelgesetzes Im Rahmen der laufenden Teilrevision des Betäubungsmittelgesetzes haben wir darauf hingewirkt, dass die Datenbearbeitung auf der Grund- lage dieses Erlasses exakter beschrieben wird. Auch hinsichtlich der neu vorgesehenen Meldebefugnis bei suchtbedingten Störungen sind ge setzgeberische Anstrengungen zur Präzisierung des Datenfl usses notwendig. Nachdem eine umfassende Revision des Betäubungsmittelgesetzes im Jahr 2004 ge- scheitert war, will eine parlamentarische Initiative nun jene Punkte umsetzen, die sich damals als mehrheitsfähig erwiesen haben. Die Vorlage will insbesondere den Jugend- schutz, die Prävention und die Koordinationsrolle des Bundes stärken. Der Erlassentwurf beinhaltet – wie vom Datenschutzgesetz gefordert – eine ausdrück- liche gesetzliche Regelung der Personendatenbearbeitung. In ihrer Urfassung war die Bestimmung allerdings sprachlich derart breit gefasst, dass aus ihr nur ungenügend d eutlich wurde, in welchen Fällen im Betäubungsmittelkontext Personendaten be- arbeitet werden sollen. Unser diesbezüglicher Befund hatte einen bundesrätlicher Präzisierungsantrag zur Folge, gemäss dessen Fassung nun der Zweck der Daten- bearbeitung, deren Umfang und die an ihr Beteiligten präziser umschrieben werden. Ergänzend ist festzuhalten, dass auf der Grundlage des Betäubungsmittelgesetzes weder ein Abrufverfahren noch eine regelmässige Datenbekanntgabe mittels Listen vorgesehen sind. Bedeutsam ist aus Sicht des Datenschutzes ausserdem ein neu vorgesehenes, prä- v entives Instrument der Drogenpolitik bei suchtbedingten Störungen, nämlich die Meldebefugnis bestimmter Amtsstellen und Fachleute zugunsten der zuständigen Behandlungs- und Sozialhilfestellen. Ungünstig ist, dass das Gesetz offen lässt, in wel- chen Fällen von einer suchtbedingten Störung auszugehen ist. Ein solches System bedeutet zwangsläufi g eine Datenbearbeitung auf der Grundlage von Verdachtsmo- menten, namentlich weil das Meldesystem auch bereits bei drohenden Suchtstö-
27 14. Tätigkeitsbericht 2006/ 2007 des EDÖB rungen greifen soll. Im Hinblick auf den Grundsatz der Datenrichtigkeit ist dies ein heikler Vorgang. Dies insbesondere, weil die der Datenbearbeitung zugrunde gelegte Vermutung im vorliegenden Fall durchaus stigmatisierend ist. Wir werden uns weiter- hin dafür einsetzen, dass der Ermessensanteil beim Entscheid zur Datenbearbeitung durch gesetzgeberische Anstrengungen (mindestens auf Verordnungsstufe) auf ein Minimum reduziert wird. 1.2.6 Biometrische Zutrittskontrollen für Sport- und Freizeitanlagen Di e Prüfung der Datenschutzpraktiken bei den „KSS Sport- und Frei- zeitanlagen Schaffhausen“ (nachstehend KSS) hat ergeben, dass die Verwendung biometrischer Daten für die Zutrittskontrolle zu den An- lagen nicht ganz den Datenschutzvorschriften entsprach. Wir haben uns insbesondere dafür eingesetzt, dass die biometrischen Daten nicht mehr zentralisiert gespeichert werden. Ausserdem muss Kundinnen und Kunden, die mit der Erfassung ihrer Fingerabdrücke nicht einver- standen sind, eine Alternativlösung angeboten werden. Wir sind der Auffassung, dass sich diese Empfehlungen analog auf andere private Anlagen desselben Sektors, soweit sie für ihre Zutrittskontrollsysteme biometrische Daten benutzen, anwenden lassen. Die KSS verwenden seit Januar 2005 ein neues System, um die missbräuchliche Be- nutzung von persönlichen Halbjahres- oder Jahresabonnements für den Zutritt zum Schwimmbad und zu den Wellness-Anlagen zu bekämpfen. Neben den üblichen per- sönlichen Daten des Kunden werden auch seine Fingerabdrücke in Form von biome- trischen Vorlagen (Templates) erfasst. Um in die Anlage zu gelangen, muss der Kunde seine Abonnentenkarte in ein mit der Zugangsschranke verbundenes Lesegerät ein- schieben. Danach muss der Abonnementsinhaber mit seinem Finger über einen in das Kartenlesegerät eingebauten Scanner streichen, damit das Gerät ein Prüftemplate des auf diese Weise digitalisierten Fingerabdrucks erstellen kann; diese Vorlage wird mit dem Referenztemplate abgeglichen. Die Zugangsschranke wird erst im Falle einer erwiesenen (über einem festgelegten Mindest-Schwellenwert liegenden) Übereinstim- mung der beiden biometrischen Templates entsperrt. Vorgesehen war die Speiche- rung der Templates in einer zentralisierten Datenbank.
28 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Angesichts der relativ hohen Schutzwürdigkeit der für die Zutrittskontrolle in einer Sport- und Freizeitanlage erhobenen Daten, und aufgrund der negativen Reaktionen mancher Kunden, die sich weigerten, in einem solchen Kontext ihre biometrischen Daten erfassen zu lassen, beschlossen wir, eine Kontrolle durchzuführen. Im Rahmen unseres Schlussberichts haben wir insbesondere empfohlen, den Abonnenten, die sich einer Erfassung ihrer biometrischen Daten widersetzten, eine Ersatzlösung zum gleichen Preis anzubieten; für die Kunden, die nichts gegen das Verfahren einzuwen- den hätten, empfahlen wir die Speicherung ihrer biometrischen Daten in einem Chip in der Abonnentenkarte an Stelle einer zentralisierten Aufbewahrung. Wir betonten auch die Notwendigkeit, Fristen für die Löschung der persönlichen Daten und biome- trischen Templates betreffend ehemalige Kunden festzulegen. Zudem verwiesen wir auf die Wichtigkeit einer Anonymisierung der durch das System erfassten Besucher- daten („wer hat die Anlage wann betreten?“). Unseres Erachtens dürfen die identifi - zierbaren Kundenbesuchsdaten nicht im Zentralsystem gespeichert werden. Für die Ausführung der erweiterten Funktionen der Zutrittskontrolle ist die Speicherung der identifi zierbaren Daten auf der Smartcard des Abonnenten völlig ausreichend; die Zen- tralisierung der Kundenbesuchsdaten, die zu statistischen Zwecken erfasst werden, muss in anonymer Form erfolgen. Die KSS haben sich bereit erklärt, ihr System bin- nen nützlicher Frist allen unseren Empfehlungen anzupassen und die meisten unserer Verbesserungsvorschläge zu befolgen. Darüber hinaus haben wir die KSS ersucht, uns nach der Einführung sämtlicher Massnahmen zu informieren, damit wir überprüfen können, ob sie den abgegebenen Empfehlungen auch wirklich entsprechen. Der vollständige Bericht über diese Kontrolle sowie eine Zusammenfassung und eine Medienmitteilung sind auf unserer Website veröffentlicht worden. Dem Schlussbericht wurde ein Anhang beigefügt; dieser gibt die Meinungen und Antworten der KSS zu der durchgeführten Kontrolle sowie unsere Schlussbeurteilung wieder.
29 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.2.7 Identitätskontrolle bei Spielbankenbesuchern Die eidgenössische Spielbankenkommission (ESBK) hat uns angefragt, ob und in welchem Ausmass eine Spielbank Informationen betreffend die Besucher ihrer Einrichtung erfassen, aufbewahren und verwerten kann, um spielsuchtgefährdete Personen frühzeitig zu erkennen. Wir waren der Auffassung, dass die geltende Gesetzgebung eine derartige Datenbearbeitung nicht gestattet. Eine Rechtsgrundlage ist im Prinzip wü nschenswert. Allerdings könnten die Spielkasinos einen anderen Rechtfertigungsgrund geltend machen, etwa ein überwiegendes pri- vates oder öffentliches Interesse. In jedem Fall ist ein Datenschutzkon- zept ausdrücklich vorzusehen. Die eidgenössische Spielbankenkommission (ESBK) hat sich mit der Frage an uns ge- wandt, ob und in welchem Ausmass eine Spielbank Informationen betreffend die Be- sucher der Einrichtung erfassen, aufbewahren und verwerten können, um spielsucht- gefährdete Personen frühzeitig zu erkennen. Es sollte insbesondere geprüft werden, ob die zu anderen Zwecken (Marketing, Bekämpfung der Geldwäscherei) beschafften Informationen auch im Rahmen der Erstellung eines Sozialkonzepts verwendet wer- den könnten. Die Erhebung, Aufbewahrung und Auswertung von Informationen über Spielkasino- besucher stellen eine Bearbeitung von Personendaten im Sinne des Bundesgesetzes über den Datenschutz (DSG) dar. Als Privatpersonen müssen die Kasinos sich auf einen der Rechtfertigungsgründe nach Art. 13 DSG berufen können, nämlich die Einwilligung de s Betroffenen, ein überwiegendes privates oder öffentliches Interesse oder eine gesetzliche Grundlage. Um den Spielkasinos eine solche Datenbearbeitung vorschrei- ben zu können, muss sich die ESBK – als Bundesorgan – ihrerseits unbedingt auf eine Rechtsgrundlage stützen können (Art. 17 DSG). Wir überprüften daher zunächst, ob in diesem Fall die geltende Gesetzgebung eine so lche Datenbearbeitung vorsieht. Wir stellten fest, dass das Bundesgesetz über Glücksspiele und Spielbanken (SBG) die Spielbanken zur Erstellung eines Sozialkon- zepts verpfl ichtet; wie die Vollzugsverordnung zu diesem Gesetz ausführt, müssen die Spielbanken Massnahmen gemäss im Voraus festgelegten Beobachtungskriterien ergreifen. Wir sind jedoch der Ansicht, dass die von den Spielbanken durchgeführten Datenbearbeitungsmassnahmen zur Vorbeugung gegen die sozial schädlichen Aus- wirkungen des Spiels ausdrücklich in einer formellgesetzlichen Grundlage vorgesehen sein müssen. Bei den erhobenen Informationen, die die Gesundheit betreffen, handelt es sich um besonders schützenswerte Daten im Sinne des DSG.
30 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Die Spielbanken verfügen über Informationen, die in Ausführung des Bundesgesetzes zur Bekämpfung der Geldwäscherei (GwG) erfasst werden. Für die Verwendung von Personendaten im Rahmen der Durchführung des Sozialkonzepts zu anderen Zwe- cken als zur Bekämpfung der Geldwäscherei können sich die Spielbanken bzw. die ESBK jedoch nicht auf diese Rechtsgrundlagen berufen. Die Spielbanken haben auch die Möglichkeit, die Daten ihrer Kunden für Marketingzwecke zu registrieren, soweit die Betroffenen ihre Einwilligung dazu geben. Gemäss dem Grundsatz der Zweckbe- stimmung dürfen die erhobenen Daten indessen nur für Marketingzwecke verwendet werden, und nur dann, wenn der Betroffene seine Einwilligung nach freien Stücken und in Kenntnis der Sache erteilt hat. Folglich ist festzuhalten, dass die ESBK und die Spielbanken über keine genügend präzise Rechtsgrundlage verfügen, um andere als die in der Spezialgesetzgebung ausdrücklich erwähnten Datenbearbeitungen recht- fertigen zu können. Die Spielbanken als private Einrichtungen könnten sich ihrerseits auf einen anderen R echtfertigungsgrund berufen, und zwar die Einwilligung des Betroffenen oder ein überwiegendes privates oder öffentliches Interesse, und die verfügbaren Daten im Zusammenhang mit dem Sozialkonzept verwenden. Eine derartige Datenbearbeitung unterliegt indessen den allgemeinen Datenschutzprinzipien, insbesondere den Grund- sätzen der Zweckmässigkeit, der Verhältnismässigkeit und der Transparenz. Auf jeden Fall sind wir der Ansicht, dass eine neue Rechtsgrundlage wünschenswert w äre, um die vorhandenen Instrumentarien zur Früherkennung von spielsüchtigen Personen verwenden zu können. Die besondere Schutzwürdigkeit der im Rahmen des Sozialkonzepts bearbeiteten Daten und das verfolgte öffentliche Interesse sind einschlägige Gründe für eine klare gesetzliche Grundlage. Überdies könnte mit der Festlegung eines rechtlichen Rahmens die Gewähr geboten werden, dass sämtliche Spielbanken das Sozialkonzept gleich wirksam umsetzen. Abschliessend haben wir darauf hingewiesen, dass die Spielbanken in jedem Fall ein Konzept für die in ihren Einrichtungen vorgenommenen Datenbearbeitungen vorse- hen müssen. Sie haben insbesondere die erhobenen Daten, ihre Zweckbestimmung sowie ihre Aufbewahrungsdauer festzulegen; ebenso muss der allfällige Zugriff durch Behörden oder Dritte geregelt werden, und gemäss dem Grundsatz der Transparenz ist auch eine Information der Betroffenen zwingend notwendig.
31 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.2.8 Elektronische Zugangssysteme in den Skigebieten und Datenschutz Die Kontrolle des Zutritts zu den Skigebieten erfolgt mit immer höher entwickelten Systemen, die für den Datenschutz problematisch sein können. Beim Erwerb eines Abonnements muss der Skifahrer seine Personalien bekannt geben und eine Fotografi e vorlegen. Bei der Erfas- sung und Verwendung dieser Personendaten muss die Datenschutzge- setzgebung eingehalten werden. Die Betreiber von Wintersportanlagen können sich nicht auf ein überwiegendes privates Interesse berufen, um die Personendaten der Abonnementsinhaber öffentlich anzuzeigen. Die Prüfung der Gültigkeit der Abonnemente und die Vermeidung von Missbräuchen sind auch mit anderen, dem Schutz der Privatsphäre bes- ser angepassten Mitteln möglich. Bei m Kauf eines Abonnements muss der Skifahrer eine Fotografi e vorlegen sowie Angaben zu seiner Person machen. Die Erhebung und Verwendung dieser Personen- daten bilden eine Datenbearbeitung im Sinne des Datenschutzgesetzes (DSG), dessen Bestimmungen somit zur Anwendung kommen. Die Betreiber von Wintersportanlagen setzen zunehmend elektronische Systeme für die Zugangskontrolle ein. An manchen Wintersportorten erscheint das Foto des Abonnementsinhabers auf einem Bildschirm, sobald der Benutzer die Schranke passiert. Mit einem solchen System soll einerseits kontrolliert werden, ob der Inhaber des Abonnements mit dem Benutzer identisch ist, und andererseits soll die Gültigkeit des Abonnements festgestellt werden. Im Allge- meinen wird die Kontrolle durch das Personal der Wintersportanlagen vorgenommen; in manchen Skigebieten ist der Bildschirm jedoch auch für Dritte sichtbar, die sich in der Nähe der Kontrollstelle befi nden. Die Personendaten des Abonnementsinhabers erscheinen dann auf dem Bildschirm und bleiben dort sichtbar, bis der nächste Kunde die Schranke passiert, was mehrere Minuten dauern kann. Mehrere Personen haben sich bei uns über die öffentliche Anzeige ihrer Personendaten beschwert. Wir haben daher die Konformität dieses Verfahrens mit dem DSG überprüft. Jedermann hat Anspruch auf Achtung seiner Privatsphäre und ist insbesondere be- rechtigt, seine Identität gegenüber Dritten, einschliesslich im Rahmen seiner Freizei- taktivitäten, abzuschirmen. Andererseits kann eine Privatperson für die Bearbeitung von Personendaten einen Rechtfertigungsgrund geltend machen: das kann ein Gesetz sein, ein überwiegendes privates oder öffentliches Interesse oder auch die Einwilli- gung der Betroffenen. Die allgemeinen Datenschutzprinzipien sind selbst bei Bestehen eines Rechtfertigungsgrundes einzuhalten.
32 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Verfügt der Betreiber einer Wintersportanlage über einen Rechtfertigungsgrund, der es ihm gestattet, die Daten der Inhaber eines Skiabonnements in einer auch für Dritte sichtbaren Form auf dem Bildschirm anzuzeigen? Ein Gesetz gibt es auf diesem Ge- biet nicht, und es kann auch kein öffentliches Interesse geltend gemacht werden. Es bleiben somit, als mögliche Rechtfertigungsgründe, nur ein überwiegendes privates Interesse oder die Einwilligung der Betroffenen. Der Betreiber einer Wintersportstation hat natürlich ein legitimes Interesse daran, die G ültigkeit der Abonnemente zu prüfen und sich zu vergewissern, dass nicht über- tragbare Abonnemente nicht missbräuchlich von Dritten benutzt werden. Zu diesem Zwe ck hat er das Recht, elektronische Systeme für die Zutrittskontrolle einzurichten. Dabei muss er aber auch die allgemeinen Datenschutzgrundsätze einhalten, insbe- sondere die Prinzipien der Zweckbestimmung, der Verhältnismässigkeit und der Trans- parenz. Im vorliegenden Fall bezweifeln wir, dass eine öffentliche Anzeige die Prüfung der Gültigkeit der Abonnemente ermöglicht. Es ist nicht Sache der anderen Kunden, sich an Stelle des Personals zu vergewissern, dass kein Missbrauch vorliegt. Es hat vielmehr den Anschein, dass der Einsatz solcher Systeme etwaige Schwarzfahrer abschrecken soll; im Falle eines Missbrauchs werden aber nicht die Personendaten des Skifahrers angezeigt, sondern die Daten des Abonnementsinhabers, der von dem Missbrauch nicht unbedingt Kenntnis hat und damit zu Unrecht angeprangert wird. Ausserdem empfi ehlt es sich, entsprechend dem Grundsatz der Verhältnismässigkeit, so weit wie möglich Massnahmen anzuwenden, mit der die Privatsphäre am besten geschützt bleibt. Die öffentliche Anzeige von Personendaten bedeutet einen nicht ge- ringfügigen Eingriff in die Privatsphäre der Betroffenen. Im vorliegenden Fall entspricht eine solche Massnahme nicht dem Verhältnismässigkeitsprinzip, denn es gibt andere Kontrollmittel, die wirksam sind und zugleich den Erfordernissen des Datenschutzes gerecht werden, beispielsweise systematisch oder stichprobenweise von Angestell- ten durchgeführten Kontrollen; einzig das Personal darf Einblick auf die Bildschirme haben. In Anbetracht dieser Erwägungen können die Betreiber von Wintersportanlagen kein überwiegendes privates Interesse an der öffentlichen Anzeige von Personendaten geltend machen. Der einzige verbleibende Rechtfertigungsgrund wäre die Einwilligung der Betroffenen. Dieses Einverständnis muss frei und in Kenntnis der Sachlage er- teilt werden: der Kunde muss sich der Bearbeitung seiner eigenen Daten widersetzen können, ohne dass ihm daraus irgend ein Nachteil entsteht. Die öffentliche Anzeige der Personendaten müsste somit fakultativ sein, was technisch möglich wäre, der Kontrollabsicht der Betreiber aber nicht entsprechen würde.
33 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Wir sind zum Schluss gekommen, dass die öffentliche Anzeige der Fotografi e und der Identität der Benutzer von Wintersportanlagen zu Kontrollzwecken nicht der Daten- schutzgesetzgebung entspricht. Die Bekanntgabe von Personendaten an Dritte ist in der Tat unnötig und widerspricht dem Grundsatz der Verhältnismässigkeit. Es können auch mit anderen Mitteln, die den Schutz der Privatsphäre besser gewährleisten, die Gültigkeit der Abonnemente überprüft und Missbräuche vermieden werden, beispiels- weise durch systematische oder sporadische Kontrollen, wie sie in den öffentlichen Verkehrsmitteln üblich sind. Wir haben die betroffenen Personen auf ihr Klagerecht gemäss von Art. 15 DSG aufmerksam gemacht. 1.2.9 Kontrolle des Bearbeitungsreglements für das Informationssystem AVAM Bei den von uns kontrollierten Bearbeitungsreglementen sind in vielen Fällen noch Mängel in der Umsetzung der technischen und organisato- rischen Massnahmen festzustellen. Sie betreffen insbesondere die Ver- schlüsselung und die Protokollierung, aber auch die Kontrollverfahren un d die Dokumentation der Prozesse (Abläufe). Vorgaben zum Inhalt eines Bearbeitungsreglements sind auf unserer Website aufgeführt. Das Informationssystem AVAM des Staatssekretariats für Wirtschaft (SECO) wird für die Arbeitsvermittlung und die Arbeitsmarktstatistik eingesetzt. Für ein solches Sy- stem ist ein Bearbeitungsreglement zu erstellen. Dieses wurde vom SECO gemäss den Vorgaben, die wir auf unserer Website publiziert haben, erstellt (www.edoeb.ad- min.ch, Dokumentation – Datenschutz – Leitfäden – Technische und organisatorische Massnahmen). Wir haben das Reglement kontrolliert und einige Punkte als verbesserungswürdig er- achtet. B ei der Schnittstellenbeschreibung, die u. a. den Informationsfl uss zwischen dem AVAM (SECO) und den vom System betroffenen Organisationseinheiten aufzeigt, wurden nicht überall die in der Folge aufgeführten Datenfelder umschrieben: VON (von wo stammen die Daten, z.B. AVAM/SECO); NACH (wohin werden die Daten übertragen, z.B. an die regionalen Arbeitsvermittlungszentren); Zweck (was soll mit der Datenü- bertragung erreicht werden?); DATENART (welche Daten(arten) werden übertragen?); PERIODIZITÄT (in welcher Regelmässigkeit werden die Daten übertragen?); AUSLÖSER (wer löst die Datenübertragung aus?); MEDIUM (mit Hilfe welcher Kommunikationsmit- tel werden die Daten übertragen?)
34 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Im Weiteren wird nur grob festgehalten, welche Projekt- und Systemdokumente in etwa erstellt wurden. Es fehlt indessen eine abschliessende Liste der Dokumente, die für die Systemplanung und -realisierung sowie den Systembetrieb erstellt wurden. Damit wäre aber eine gewisse Transparenz und Nachvollziehbarkeit gewährleistet. Die Abläufe bzw. die Prozessgruppen wurden im Reglement festgehalten. Für de- tailliertere Informationen wurde auf das Intranet verwiesen. Dabei stellte sich aber heraus, dass gewisse Daten, insbesondere die grafi schen Abläufe, nicht abgerufen werden konnten und gewisse Prozessbeschreibungen wie z.B. die Kontrollprozesse fehlten (der Datenschutz unterscheidet zwischen den herkömmlichen Aufgabenerfül- lungsprozessen, den Kontrollprozessen sowie den Prozessen für die Wahrnehmung des Auskunftsrechts). B ei den Kontrollverfahren ist festzuhalten, welche Kontrollen in der Planungs- und Realisierungsphase durchlaufen wurden und welche Kontrollverfahren für die Betrieb- sphase vorgesehen sind. Im Verlaufe der Betriebsphase ist dann auch festzuhalten, welche Kontrollen durchgeführt wurden. Kontrollverfahren sind u. a. auch Protokol- lauswertungen. Es ist zu dokumentieren, wer wann welche Protokolle auswertet. Wir haben dem SECO die Verbesserungsvorschläge unterbreitet. Im Weiteren haben wir um Nachführung und Neuzustellung des Reglements gebeten. Aufgrund der bis heute gemachten Erfahrungen werden wir vermehrt Bearbeitungs- reglemente begutachten.
35 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.3 Justiz/Polizei/Sicherheit 1.3.1 Hooliganismusbekämpfung Auch in der Schweiz ist gewalttätiges Auftreten von so genannten Hoo- ligans im Rahmen von Sportveranstaltungen seit einiger Zeit zu beo- bachten. Um diesem Problem entgegenzuwirken, wurden im Jahr 2002 entsprechende Gesetzgebungsarbeiten auf Bundesebene eingeleitet. Die daraus resultierenden Bestimmungen im Bundesgesetz über Mass- nahmen zur Wahrung der inneren Sicherheit (BWIS) und der dazugehö- rigen Verordnung (VWIS) sind am 1. Januar 2007 in Kraft getreten. M it den neuen Bestimmungen zur Bekämpfung des Hooliganismus wird einerseits eine Datenbank geschaffen, worin Daten über Personen aufgenommen werden, die sich anlässlich von Sportveranstaltungen „gewalttätig verhalten haben“ (Artikel 24a Absatz 1 BWIS). Andererseits werden dadurch verschiedene Massnahmen wie Ra- yonverbot, Ausreisebeschränkung, Meldeaufl age und Polizeigewahrsam vorgesehen. In datenschutzrechtlicher Hinsicht haben sich in diesem Zusammenhang zwei heikle Punkte herauskristallisiert. Zunächst geht es um Unklarheiten betreffend die Voraussetzungen für die Aufnah- me in die Datenbank. Zwar scheint die oben erwähnte Formulierung des Gesetzes BWIS recht klar, diese Klarheit wird aber durch die Artikel 21a und 21b der Verordnung gleich mehrfach verwischt. Art. 21a zählt eine Anzahl von Straftatbeständen auf, bei deren Vorliegen ein gewalttätiges Verhalten gegeben sein soll. Diese Aufzählung ist der Klarheit nicht förderlich, weil sie mit dem Ausdruck „namentlich“ eingeleitet wird und damit als nicht abschliessend gekennzeichnet ist. Art. 21b der Verordnung weicht die Grenzen weiter auf, indem er bestimmt, dass gewalttätiges Verhalten auch dann als nachgewiesen betrachtet wird, wenn jemand von einem Sportverein ein Stadion- verbot erhalten hat (Art. 21b Abs. 1 Buchstabe c). Für die betroffenen Personen kann sich diese Regelung als problematisch erweisen, weil solche Stadionverbote durchaus willkürlich ausgesprochen werden können und dagegen auch keine Rechtsmittel zur Verfügung stehen.
36 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Der zweite datenschutzrechtlich heikle Punkt liegt in der Unbestimmtheit der Re- gelungen betreffend Datenweitergaben an Private (z.B. Sportstadienbetreiber) und betreffend Datenbearbeitungen durch diese. Schon allein die Tatsache, dass Daten aus einer staatlichen Datenbank regelmässig und in beträchtlichem Umfang auch an Private weitergegeben werden, ist nicht unproblematisch. Deshalb hat der Gesetzge- ber vorgesehen, dass der Bundesrat regeln soll, „wie die Daten durch die Empfänger und durch Dritte bearbeitet werden“ (Art. 24a Abs. 8 BWIS). Dieser gesetzliche Auftrag wird jedoch in der Verordnung nicht erfüllt. Stattdessen wird die Angelegenheit auf eine tiefere Normstufe verschoben. Art. 21k der Verordnung bestimmt nämlich, dass der Dienst für Analyse und Prävention (DAP) die Verwendung und Bearbeitung der Daten durch die Organisatoren von Sportveranstaltungen im Bearbeitungsreglement des Informationssystems regelt. Im Bearbeitungsreglement selbst werden jedoch die erforderlichen Regeln ebenfalls nicht defi niert. Vielmehr sagt dessen Art. 27 Abs. 3, der DAP erlasse „in enger Zusammenarbeit mit den Sportveranstaltern Richtlinien über die E inzelheiten der Datenweitergabe durch die Sportveranstalter“. Diese Bestimmung gibt Anlass zu Kritik, weil damit die Kaskade der Sub-Delegationen weitergeführt wird, ohne dass inhaltliche Klarheit erreicht würde. Sie schafft vielmehr noch weitere Un- klarheiten, indem darin von einer Datenweitergabe durch Sportveranstalter die Rede ist. Es ist bis heute nicht absehbar, wie die beschriebenen offenen Fragen geklärt werden können und wann dies geschehen wird.
37 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.3.2 Pilotprojekt für einen nationalen Polizeiindex Die Einführung eines Pilotprojekts für einen nationalen Polizeiindex ist erst mit dem vorgezogenen Inkrafttreten von Artikel 17a des Da- tenschutzgesetzes möglich geworden. Wir haben für diesen Fall eine positive Stellungnahme abgegeben und angekündigt, dass wir bei den verschiedenen Benutzern einen Augenschein vor Ort vornehmen wer- den, um zu überprüfen, ob die für diesen Pilotversuch festgelegten Be- dingungen eingehalten werden. Das Bundesamt für Polizei (fedpol) konsultierte uns im Sommer 2006 zur Einführung eines Pilotprojekts für einen nationalen Polizeiindex. Da die geltend gemachten ge- setzlichen Grundlagen nicht ausreichend waren und der neue Artikel 17a des Bundes- gesetzes über den Datenschutz (DSG) betreffend Pilotprojekte noch nicht in Kraft war, erklärten wir fedpol, dass ein derartiges Pilotprojekt nicht durchgeführt werden könne. Das fedpol schlug daraufhin eine vorgezogene Inkraftsetzung des neuen Artikels 17a DSG vor. Der Vorschlag enthielt auch ein Gutachten des Bundesamtes für Justiz, dem zufolge eine einzige Bestimmung durchaus vor der Gesamtheit der revidierten Nor- men eines Gesetzes in Kraft treten kann. Die Verordnung über den Pilotbetrieb des nationalen Polizeiindexes und die Verordnung über die vorgezogene Inkraftsetzung von Artikel 17a DSG sind seit dem 15. Dezember 2006 in Kraft. Nachdem wir aufgrund der von fedpol erteilten Auskünfte festgestellt hatten, dass die in dieser neuen Bestim- mung für die Einführung des Pilotprojektes aufgestellten Bedingungen erfüllt waren, gaben wir eine positive Stellungnahme ab. Wir erinnerten das Bundesamt daran, dass es dem Bundesrat spätestens zwei Jahre nach Inbetriebnahme der Versuchsphase ei- nen Evaluationsbericht vorzulegen habe. Wir betonten, dass das Pilotprojekt für einen nationalen Polizeiindex wegen der vorgezogenen Inkraftsetzung von Art. 17a DSG ein Sonderfall sei. Wir erwähnten auch, dass im Rahmen der Revision der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) Ausführungsbestimmungen betreffend Art. 17a DSG auszuarbeiten sein werden. Wir wiesen ausdrücklich darauf hin, dass unsere Stellungnahme zum Pilotprojekt für einen nationalen Polizeiindex Ausnahme- charakter habe und nicht als Präzedenzfall dienen könne. Gewisse Punkte könnten in Zukunft anders beurteilt werden, so zum Beispiel die Liste der Teilnehmer an dem Pil otprojekt oder die im Rahmen des Pilotprojekts verwendeten Daten. Schliesslich teilten wir fedpol mit, dass wir einen Augenschein bei einem Benutzer innerhalb des Bundesamtes, bei einem Benutzer des Grenzwachtkorps und, in Zusammenarbeit mit der kantonalen Datenschutzbehörde, bei einem kantonalen Benutzer vor Ort vorneh- men werden.
38 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.3.3 Indirektes Auskunftsrecht In einem Entscheid vom 31. August 2006 hielt die Eidgenössische Daten- schutz- und Öffentlichkeitskommission fest, dass das so genannte indi- rekte Auskunftsrecht den Anforderungen der Europäischen Menschen- rechtskonvention (EMRK) nicht genüge. Gerade in Fällen, in denen eine Gefährdung der freiheitlich-demokratischen Verfassungsordnung der Schweiz oder des Bestandes, der Unabhängigkeit und Sicherheit des Bundes und der Kantone ausgeschlossen werden könne, seien Infor- mationen der betroffenen Personen über die Datenbearbeitung zwin- gend. Gestützt auf diesen Entscheid haben wir unsere Auskunftspraxis angepasst. In Zusammenhang mit dem so genannten indirekten Auskunftsrecht hat die Eidgenös- sische Datenschutz- und Öffentlichkeitskommission (EDÖK) ein weiteres Urteil gefällt. Vorab ist darauf hinzuweisen, dass hier kein eigentliches Auskunftsrecht vorliegt, weil die betroffene Person, die ein Auskunftsgesuch gestellt hat, von uns in der Regel nur eine stets gleich lautende Antwort erhält, die keinen Aufschluss darüber gibt, ob sie erfasst ist oder nicht (vgl. auch unseren 7. Tätigkeitsbericht 1999/2000, Ziff. I. 1.2). Im er- wähnten Entscheid der EDÖK ging es allerdings um die Anwendung der Ausnahmere- gelung Art. 18 Abs. 3 des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit (BWIS). Nach diesem Artikel können wir von der erwähnten, gesetzlich vor- gesehenen Standardantwort abweichen und ausnahmsweise der gesuchstellenden Person in angemessener Weise Auskunft erteilen, wenn damit keine Gefährdung der inneren oder der äusseren Sicherheit verbunden ist und wenn der gesuchstellenden Person sonst ein erheblicher, nicht wieder gut zu machender Schaden erwächst. In ihren Erwägungen stellte die EDÖK zunächst fest, dass Art. 18 BWIS grundsätzlich kein Auskunftsrecht der betroffenen Person vorsehe, sondern nur eine besondere und unabhängige Verwaltungskontrolle, in erster Instanz durch den EDÖB und in zweiter Instanz durch die EDÖK. Nur ausnahmsweise sei eine Information nach Art. 18 Abs. 3 BWIS vorgesehen. Zudem sollten registrierte Personen nachträglich über die Datenbe- arbeitung informiert werden, allerdings nach Art. 18 Abs. 6 BWIS und nur, „sofern dies nicht mit unverhältnismässigem Aufwand verbunden“ sei. Die EDÖK bemängelte sodann, dass wir in unseren Empfangsbestätigungen, die wir de n betroffenen Personen nach Erhalt des indirekten Auskunftsgesuchs standard- mässig zustellen, nicht ausdrücklich auf die Tatsache hinweisen, dass bei Darlegung eines erheblichen, nicht wieder gut zu machenden Schadens eine angemessene In- formation möglich sei. Dies führe dazu, dass die meisten gesuchstellenden Personen keinerlei Chance hätten, ausnahmsweise beschränkte Auskunft nach Art. 18 Abs. 3 BWIS zu erhalten.
39 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Sodann beurteilte die EDÖK die Bestimmung von Art. 18 Abs. 3 BWIS auch aus verfas- sungsrechtlicher und völkerrechtlicher Sicht unter Beizug von Urteilen des Bundesge- richts sowie des Europäischen Gerichtshofs für Menschenrechte. Aus diesen ergebe sich klar, dass auch der blosse Verdacht oder eine Falschauskunft eines Polizeibe- amten eine schwere Beeinträchtigung darstellen, die durch die pauschale Mitteilung nach Art. 18 BWIS höchstens noch verschärft werden. Gerade in Fällen, in denen eine Gefährdung der freiheitlich-demokratischen Verfassungsordnung der Schweiz oder des Bestandes, der Unabhängigkeit und Sicherheit des Bundes und der Kantone aus- geschlossen werden könne, seien Informationen der betroffenen Personen über die Datenbearbeitung zwingend. Die EDÖK kam daher zum Schluss, dass Art. 18 Abs. 1 und 2 BWIS den Anforderungen der Europäischen Menschenrechtskonvention (EMRK) nicht genüge. Die Ausnahmeregelung von Art. 18 Abs. 3 BWIS sei derart irrational und zweckwidrig, dass sie offensichtlich dem EDÖB keine vernünftige Praxis erlaube, die dem Grund- rechtsschutz und den Zwecken von Art. 1 BWIS Rechnung trage. Es sei festzuhalten, dass es mit den in EMRK und Bundesverfassung vorgesehenen Sicherungen der Grundrechte nicht vereinbar sei, eine Auskunft praktisch auszuschliessen. Gestützt darauf empfahl uns die EDÖK, im vorliegenden Fall die gesuchstellende Per- son gemäss Art. 18 Abs. 3 BWIS darüber zu informieren, dass sie nicht registriert sei. Weiter wurde uns empfohlen, die Modalitäten der Information von Personen, die um eine Auskunft im Bereich polizeilicher Datenbearbeitung des Bundes ersuchen, so zu modifi zieren, dass wir im Sinne dieses Entscheides der EDÖK auch Auskunft erteilen könnten. Dem Bundesamt für Polizei empfahl die EDÖK, im Rahmen der laufenden Revision des BWIS eine EMRK-konforme Regelung des datenschutzrechtlichen Aus- kunftsrechts im BWIS einzuleiten. Wir haben nun unsere Empfangsbestätigungen zum indirekten Auskunftsrecht ent- sprechend geändert. So machen wir die gesuchstellende Person ausdrücklich darauf aufmerksam, dass sie der gesetzlich vorgesehenen Standardantwort nicht werde ent- nehmen können, ob über sie im Informationssystem Einträge vorhanden sind oder nicht. Gleichzeitig weisen wir sie ausdrücklich auf die Ausnahmebestimmung von Art. 18 Abs. 3 BWIS und die Möglichkeit hin, uns innert 30 Tagen darzulegen, aus welchen Gründen ihr durch das Ausbleiben angemessener Information ein nicht wieder gut zu machender Schaden erwachse. Schliesslich haben wir die Erwägungen der EDÖK zu Art. 18 Abs. 3 BWIS in unsere Praxis aufgenommen und entscheiden jeweils im Einzel- fall, ob die Voraussetzungen dieser Bestimmung erfüllt sind oder nicht.
40 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.3.4 Verlängerung der Aufbewahrungsdauer von Telekommunikations-Verkehrsdaten Im Rahmen eines Berichts des Bundesrates im Anschluss an ein Po- stulat zum Thema einer wirksameren Bekämpfung des Terrorismus und der organisierten Kriminalität wurden wir zu einer Stellungnahme aufgefordert, die sich namentlich auf eine mögliche Verlängerung der Aufbewahrungsdauer der Verkehrsdaten von sechs auf zwölf Monate beziehen sollte. Wir halten eine solche Massnahme für unverhältnis- mässig. Die sicherheitspolitische Kommission des Ständerats ersuchte den Bundesrat, die in der Gesetzgebung vorzunehmenden Änderungen für einen wirksameren Kampf ge- gen den Terrorismus und die organisierte Kriminalität zu prüfen. Die Kommission war namentlich der Auffassung, dass die für die Datenaufbewahrung im Hinblick auf eine rückwirkende Kontrolle der Kommunikationen geltende Frist von sechs Monaten zu kurz sei. Im Rahmen seines Berichts zur Beantwortung dieses Postulats schlug der Bundesrat vor, anlässlich einer späteren Anpassung der Gesetzgebung (Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)) die Frist von sechs auf zwölf Monate zu verlängern. Wir wurden um eine Stellungnahme zu den Schlussfolgerungen dieses Berichts ersucht. Die systematische und obligatorische Aufbewahrung der Daten bedeutet eine erheb- liche Einschränkung des Schutzes der Privatsphäre und bedarf einer vollumfänglichen Rechtfertigung. Unseres Erachtens ist die bisherige Frist von sechs Monaten bei wei- tem ausreichend, und wir sind daher der Auffassung, dass eine Verlängerung dieser Fri st unverhältnismässig wäre. Namentlich in Fällen der internationalen Rechtshilfe wäre es denkbar, dass sofort nach Eingang des Gesuchs die Blockierung der Daten bei dem zuständigen Organ beantragt würde, damit die gesamte Frist bestehen bleibt. Darüber hinaus haben wir auch auf die Stellungnahme der Arbeitsgruppe „Artikel 29“ vom 21. Oktober 2005 zum Vorschlag für eine Richtlinie des europäischen Parla- ments und des Europarates über die Vorratsspeicherung von Daten Bezug genommen (http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp113_de.pdf). Für den Fall, dass die Dauer der Datenaufbewahrung dennoch auf zwölf Monate ver- längert werden sollte, betonten wir, dass es zumindest angebracht wäre, die Anwen- dung dieser Massnahme zeitlich zu begrenzen und nach einer bestimmten Zeitspanne ihre Wirksamkeit einer Beurteilung zu unterziehen.
41 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.3.5 Aktivitäten des EDÖB im Zusammenhang mit der Euro 08 Im Rahmen der Vorbereitungen der EURO 08 wurden wir von verschie- denen Seiten um Stellungnahmen gebeten. Nebst dem Bundesratsbe- schluss zum Assistenzdienst der Armee sind dabei die Themenbereiche Akkreditierung und Trittbrettfahrermarketing zu erwähnen. Im Sommer 2006 hat uns das Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) um Stellungnahme zum Entwurf für den Bundesratsbeschluss zum As- sistenzdienst der Armee angefragt. In unserer Stellungnahme haben wir darauf hin- ge wiesen, dass die Angaben zum Schutz des Luftraums sehr unpräzise seien und dass eine detailliertere Regelung erforderlich sei, wenn im Assistenzdienst Drohnen eingesetzt würden. Weil der Zweck des Einsatzes von Drohnen und Helikoptern mit Infrarot-Aufklärungssystem einzig darin besteht, den Einsatz von Sicherheits- und al- lenfalls Rettungskräften zu steuern, gibt es keine Notwendigkeit, die Bildinformationen zu speichern oder gar weiterzuleiten. Dementsprechend wird die Aufzeichnung der Informationen im Bundesratsbeschluss untersagt, was dem Grundsatz der Verhältnis- mässigkeit entspricht (vgl. auch Ziffer 1.2.2). E benfalls im Sommer 2006 haben wir dem Staatssekretariat für Wirtschaft (SECO) unsere Bemerkungen zur damals aktuellen Revision des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG) vorgelegt. Dabei ging es um neu zu schaffende Be- stimmungen gegen das so genannte Schmarotzer- oder Trittbrettfahrer-Marketing. Für den Datenschutz war an der mittlerweile beerdigten Vorlage relevant, dass die mit dem Gesetz einzuführenden Datenfl üsse in keiner Weise bestimmt waren. Vielmehr wollte man die verschiedenen am Vollzug beteiligten Stellen mittels allgemeiner For- mulierungen zu einer Vielzahl von Datenbekanntgaben ermächtigen, ohne konkrete Angaben zu den Datenfl üssen zu machen. Das Ganze wurde in einem Artikel formu- liert, welcher den Randtitel „Amtshilfe in der Schweiz“ hätte tragen sollen. Die Bestim- mungen jedoch hätte dem Wesen der Amtshilfe grundlegend widersprochen, weil mit ihr nicht blosse Einzelfälle geregelt werden sollten, sondern die Gesamtheit der für den Vollzug erforderlichen Datenfl üsse. Im Herbst 2006 haben wir uns auf Anfrage des Bundesamtes für Polizei (fedpol) zu Sicherheitsüberprüfungen im Rahmen des Akkreditierungsverfahrens anlässlich der EURO 08 geäussert. Dabei ging es um die staatliche Mitwirkung an diesem Verfahren der UEFA in der Form, dass Bundesbehörden bestimmte staatliche Datenbanken ab- fragen und der UEFA für die betroffenen Personen Empfehlungen abgeben. Für die Abfrage waren folgende Datenbanken vorgesehen: Das informatisierte Staatsschutz- Informationssystem ISIS, das zu schaffende Hooliganismus-Informationssystem HOO-
42 14. Tätigkeitsbericht 2006/ 2007 des EDÖB GAN, das automatisierte Strafregister VOSTRA, das automatisierte Fahndungssystem RIPOL, das so genannte Schengener Informationssystem SIS sowie das zentrale Mi- grationsinformationssystem ZEMIS. Betreffend die Anzahl der vom Akkreditierungs- verfahren Betroffenen ging man von etwa 25‘000 Personen aus. Dabei handelt es sich in erster Linie um Mitarbeitende der UEFA und des Organisationskomitees EURO 08, Gäste der UEFA, Angehörige der Mannschaften und Begleitpersonen sowie um Medi- enschaffende und Mitarbeitende des Sicherheits- und Servicepersonals. Zu prüfen war, ob die staatlichen Tätigkeiten – d.h. die Datenbankabfrage und die Bekanntgabe von Empfehlungen an die UEFA – in der Einwilligung der betroffenen Personen eine genügende Grundlage fi nden könnten. Wir haben zunächst die Einwilligung im vorliegenden Zusammenhang als problema- tisch bezeichnet. Denn eine Einwilligung muss erstens freiwillig erfolgen und zweitens in Kenntnis aller wesentlichen Konsequenzen, welche sich daraus ergeben. Gerade die F reiwilligkeit dürfte aber bei der Akkreditierung von angestellten Personen nicht immer gegeben sein. Darüber hinaus droht diesen Personen der Nachteil, dass ihr Arbeitgeber sie im Falle eines negativen Bescheids nicht weiter beschäftigen will. Aus diesen Gründen und aufgrund der beträchtlichen Anzahl betroffener Personen ha- ben wir in Übereinstimmung mit dem Bundesamt für Justiz gefolgert, dass für die beschriebene staatliche Mitwirkung im Akkreditierungsverfahren die Einwilligung der Betroffenen nicht genügt und somit eine besondere Rechtsgrundlage erforderlich ist. Diese muss auf der Stufe eines Gesetzes angesiedelt sein, weil die Abfrage der erwähnten Informationssysteme eine Bearbeitung von besonders schützenswerten Personendaten darstellt. Eine derartige Rechtsgrundlage für Datenbekanntgaben an Private besteht aber nur für den Fall des Informationssystems HOOGAN. Neben diesen Stellungnahmen haben wir im Zusammenhang mit der EURO 08 unsere Kontakte betreffend die geplanten Datenbearbeitungen mit den verschiedenen an der Organisation dieser Veranstaltung Beteiligten fortgeführt. Zu erwähnen sind dabei die UEFA, das Bundesamt für Sport (BASPO) und fedpol.
43 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.3.6 Änderung der Verordnungen für den Datenaustausch mit Europol Im Rahmen der Ämterkonsultation haben wir zur Inkraftsetzung von Art. 351 novies des Strafgesetzbuchs und zur Änderung der Verordnungen betreffend den Datenaustausch mit Europol Stellung genommen. Un- seres Erachtens ist eine blosse Änderung der Verordnungen nicht aus- reichend. Im Rahmen der Ämterkonsultation hatten wir Gelegenheit zu einer Stellungnahme betreffend den Entwurf für eine Änderung verschiedener Verordnungen, die einer An- passung bedürfen, um den Datenaustausch mit dem Europäischen Polizeiamt (wie im Europol-Abkommen vorgesehen) zu ermöglichen. Wir gaben zu bedenken, dass die formelle gesetzliche Grundlage, auf der alle betroffenen Datenbanken beruhen, zu allgemein sei (vgl. unseren 12. Tätigkeitsbericht 2004/2005, Ziffer 3.1.2). Laut DSG erfordert die Bearbeitung von besonders schützenswerten Daten sowie von Persön- li chkeitsprofi len nämlich eine formelle gesetzliche Grundlage, in der zumindest die Zweckbestimmung der Bearbeitung und ihre Bedeutung genau umschrieben werden müssen. Wir haben darauf hingewiesen, dass eine blosse Änderung der Verordnungen über die betreffenden Datenbanken nicht ausreicht. Diese Bemerkung wurde nicht berücksichtigt, sie wurde aber im Bundesratsantrag als Divergenz aufgeführt. Den meisten unserer übrigen Bemerkungen wurde hingegen Rechnung getragen.
44 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.3.7 Gesetzesentwurf über die polizeilichen Informationssysteme Der Entwurf für ein Gesetz über die Informationssysteme vereint die Rechtsgrundlagen für die bestehenden Polizeidatensammlungen wie RIPOL, IPAS und JANUS im selben Regelwerk. Er führt lediglich ein ein- ziges neues Datenbearbeitungssystem ein: den nationalen Polizeiindex, ein Verzeichnis der bestehenden Datenbanken. Obwohl insgesamt un- seren Bemerkungen Rechnung getragen worden ist, bedauern wir doch die Beibehaltung des Systems des so genannten „indirekten Auskunfts- rechts“. Dieses gestattet es einem Antragsteller nicht in Erfahrung zu bringen, ob Daten, die ihn betreffen, in den einem solchen System un- terstellten Datensammlungen des Bundesamtes für Polizei enthalten sind, und gegebenenfalls Zugriff darauf zu bekommen. Wir wurden seit 2003 im Rahmen der Ausarbeitung des Gesetzesentwurfs über die polizeilichen Informationssysteme wiederholt konsultiert und konnten so unsere Be- mer kungen und Vorschläge einbringen. Dieser Entwurf verbessert die Transparenz im komplexen Bereich der polizeilichen Informationssysteme des Bundes, Systeme, auf die auch die Kantone immer mehr Zugriff erhalten. Die Transparenz ist auch ein wesentliches Element der Achtung des Rechts auf Datenschutz. Mit Ausnahme des nationalen Polizeiindexes, eines Verzeichnisses der bestehenden Datenbanken (vgl. dazu auch Ziffer 1.3.2), schafft der Entwurf keine neuen Datenbearbeitungssysteme. Er ermöglicht die Vereinigung der Rechtsgrundlagen für die bestehenden Datensamm- lungen, insbesondere RIPOL, IPAS und JANUS, in ein und demselben Regelwerk. Insge- samt wurde unseren Bemerkungen zwar Rechnung getragen, wir haben uns jedoch entschieden gegen die Beibehaltung des Systems des so genannten „indirekten Aus- kunftsrechts“ ausgesprochen. Dieses System ist derzeit im Gesetz über die kriminalpo- lizeilichen Zentralstellen des Bundes (ZentG) und im Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit (BWIS) vorgesehen. Es lässt einem Antragsteller keine Möglichkeit zu erfahren, ob ihn betreffende Daten in den einem solchen Verfah- ren unterstellten Datensammlungen des Bundesamtes für Polizei enthalten sind, und gegebenenfalls Zugriff darauf zu bekommen. Das System des „indirekten Auskunfts- rechts“ befähigt ihn lediglich, ein Gesuch an uns zu richten, damit wir überprüfen, ob Daten, die ihn betreffen, vom Bundesamt für Polizei in den Informationssystemen ISIS, JANUS und GEWA rechtskonform bearbeitet werden. Wir erteilen dem Gesuchsteller eine immer gleich lautende Antwort, die besagt, dass keine ihn betreffende Daten rechtswidrig bearbeitet wurden, oder dass wir dem für die Bearbeitung Verantwort- lichen empfohlen haben, einen bei der Datenbearbeitung begangenen Fehler zu be-
45 14. Tätigkeitsbericht 2006/ 2007 des EDÖB heben. Der Gesuchsteller erfährt ausser in seltenen Ausnahmefällen nie, ob er in den fraglichen Systemen registriert ist und welche ihn betreffenden Daten gegebenenfalls bearbeitet werden. Die Rechte des Betroffenen werden somit ausgeklammert, und unter diesen Bedingungen kann nicht von einem „indirekten Auskunftsrecht“ gespro- chen werden. Es handelt sich lediglich um ein Recht, bei einer Kontrollbehörde die Überprüfung der Rechtmässigkeit der Bearbeitung zu beantragen. Dieses System ist unter dem Gesichtspunkt des Datenschutzes unbefriedigend. Einerseits haben unsere Überprüfungen nur eine begrenzte Tragweite, und eine Information der Betroffenen gibt es praktisch nicht. Andererseits ist die heutige Praxis nicht in Übereinstimmung mit Artikel 13 der Bundesverfassung und mit den Artikeln 8 und 13 der Europäischen Menschenrechtskonvention, welche den Schutz der Privatsphäre garantieren (vgl. zu diesem Thema auch Ziffer 1.3.3). Abgesehen von dieser erheblichen Divergenz kriti- sierten wir auch die Tatsache, dass eine nachträgliche Information der Betroffenen nur dann vorgesehen ist, wenn die Daten direkt (und ohne ihr Wissen) von der Bun- deskriminalpolizei erhoben worden sind (vgl. Ziffer 1.3.8). Wir äusserten auch Zweifel betreffe nd den Online-Zugriff der eidgenössischen Spielbankenkommission auf das automatisierte Polizeifahndungssystem und denjenigen der Meldestelle für Geldwä- scherei auf das Staatsschutz-Informations-System (ISIS). Schliesslich sprachen wir uns auch gegen die Angabe des Grundes für die erkennungsdienstliche Behandlung einer Person im nationalen Polizeiindex sowie gegen die Benennung des Informationssy- stems oder des Systemtyps aus, aus denen die Daten stammen.
46 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.3.8 Kontrollen im Bereich der nachträglichen Information der betroffenen Personen Das EJPD hat im Zusammenhang mit der nachträglichen Information der betroffenen Personen den Entscheid getroffen, dass Art. 14 Abs. 1 ZentG nur dann anwendbar sei, wenn das Bundesamt für Polizei selber Daten beschafft hat, ohne dass es für die betroffene Person erkennbar war. Im Zusammenhang mit der nachträglichen Information der betroffenen Personen im Polizeibereich und unseren entsprechenden Empfehlungen haben wir die Angelegen- heit dem Eidgenössischen Justiz- und Polizeidepartement (EJPD) zum Entscheid vor- gelegt (vgl. unseren 13. Tätigkeitsbericht 2005/2006, Ziff. 3.1.4). Dabei geht es um die Auslegung von Art. 14 Abs. 1 des Bundesgesetzes über kriminalpolizeiliche Zentralstel- len des Bundes (ZentG) und des dafür vom Bundesamt für Polizei (fedpol) entworfenen Konzepts für die Informationssysteme JANUS und GEWA. Hauptdivergenz war Test 4 des Konzepts. Es besagt, Art. 14 Abs. 1 ZentG sei nur dann anwendbar, wenn die Da- tenbeschaffung originär, das heisst direkt durch fedpol resp. durch die Bundeskriminal- polizei (BKP) und nicht durch eine andere Behörde, erfolgt sei. Wir hatten uns auf den Standpunkt gestellt, dass die Voraussetzungen von Art. 14 Abs. 1 ZentG auch bei einer nicht originären Datenbeschaffung zu prüfen seien. Das EJPD hielt am erwähnten Test 4 fest mit der Begründung, keine Gesetzesbestimmung verpfl ichte zur nachträglichen Information der betroffenen Personen bei Daten, die nicht direkt von fedpol beschafft worden seien. Daher müsse man aufgrund von Indizien entscheiden, ob diese These begründet sei oder nicht. Folglich bleibt gemäss EJPD Art. 14 Abs. 1 ZentG nur im Falle der originären Datenbeschaffung anwendbar. Für das Informationssystem GEWA führt dies dazu, dass Art. 14 Abs. 1 ZentG gar keine Anwendung fi ndet, da hier überhaupt keine originäre Datenbeschaffung durch fedpol erfolgt. Weiter sprach sich das EJPD darü ber aus, dass fedpol darum besorgt sein müsse, die Gesetze in den nächsten Revisionen entsprechend anpassen zu lassen.
47 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.3.9 Datenschutz im Rahmen der Schengen-Evaluation Der Datenschutz ist ein wichtiges Element der von den europäischen Sachverständigen im Rahmen von Schengen durchgeführten Evaluati- on. Diese beruht auf einem Fragebogen und auf örtlichen Inspektionen und betrifft die eidgenössische und die kantonalen Datenschutzbehör- den. D ie Anwendung des Schengener Abkommens ist von einem Ratsbeschluss der Eu- ropäischen Union abhängig. Dieser muss von den Staaten, die Schengen anwenden, nach einer Beurteilung der Fähigkeit der Schweiz zur Umsetzung dieses Abkommens einstimmig gefasst werden. Mit der Evaluation sind Teams bestehend aus Sachverstän- digen des europäischen Rates, der europäischen Kommission und der Mitgliedstaaten betraut. Ihr Zweck ist nicht in erster Linie, Sanktionen auszusprechen, sondern den neuen Staaten zu helfen, ihre Institutionen mit den Abkommen und dem Besitzstand von Schengen in Einklang zu bringen. Die Beurteilung ermöglicht auch einen Vergleich und eine Verbesserung der einzelstaatlichen Praktiken. Sie erstreckt sich zunächst auf die Polizeizusammenarbeit, den Datenschutz, die Kontrolle an den Aussengrenzen, die Visa, die konsularische Zusammenarbeit, und danach auf das Schengener Infomfor- mationssystem (SIS) – wenn dieses einmal operationell ist. Die Evaluation beruht auf einem Fragebogen und auf örtlichen Inspektionen. Spätere Evaluationen werden auch in den Ländern erfolgen, die bereits Mitglieder von Schengen sind. Die Evaluation des Datenschutzes bezieht sich auf die Bestimmungen des Abkommens betreffend den Datenschutz und insbesondere auf die Kontrollbehörde. Sie umfasst einen an die eidgenössische und an die kantonalen Kontrollbehörden gerichteten Fragebogen und danach einen Besuch bei diesen Behörden. Die für diese Behörden geltenden Rechtsgrundlagen werden analysiert; es werden namentlich ihre Unabhän- gigkeit, ihre Kompetenzen im Bereich Untersuchungen und Sanktionen sowie ihre Rol- le als Aufsichtsorgan, insbesondere bei der Kontrolle des SIS und der darin einbezo- genen Dienste, geprüft. Die Rechte der betroffenen Personen und die Datensicherheit sind ebenfalls Bestandteil der Evaluation. Das Interesse der Experten gilt auch den Kontakten, welche die Kontrollbehörden mit den ausländischen Behörden im Rahmen der internationalen Zusammenarbeit pfl egen, sowie den Beziehungen zur Öffentlich- keit. Eine besondere Bedeutung wird der Existenz einer Sensibilisierungspolitik und von Verhaltensrichtlinien für die betroffenen Personen beigemessen.
48 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.3.10 Rückübernahmeabkommen Das Bundesamt für Migration ist mit der Ausarbeitung zahlreicher Rückübernahmeabkommen beschäftigt, in denen Datenschutznormen eingeführt werden. Da diese unterschiedlich ausgestaltet werden kön- nen, wendet sich das Bundesamt zwecks Stellungnahme an uns. Wir wurden in den letzten fünf Jahren in zahlreichen Fällen zu Rückübernahme- und Transitabkommen konsultiert. Diese Abkommen sind einerseits mit Staaten abge- schlossen worden, die über eine angemessene Gesetzgebung über den Datenschutz verfügen, wie etwa die Staaten der Europäischen Union und Staaten, die das Überein- kommen 108 des Europarates ratifi ziert haben, und andererseits mit Staaten, die keine ausreichende Gesetzgebung haben, wie die afrikanischen und asiatischen Staaten. Die wichtigsten Probleme betrafen die Bekanntgabe von besonders schützenswerten D aten im Zusammenhang mit administrativen oder strafrechtlichen Verfahren oder Massnahmen. Diese Probleme sind in unserem 10. Tätigkeitsbericht 2002/2003 (Ziffer 3.2.2) ausführlich erläutert. 1.4 Gesundheit 1.4.1 Vorentwurf zu einer Verfassungsbestimmung und einem Bundesgesetz über die Forschung am Menschen Wir begrüssen die Schaffung einer Verfassungsbestimmung und eines Bundesgesetzes über die Forschung am Menschen. Der Vorentwurf sta- tuiert als Grundsatz für jede Forschungstätigkeit die Einwilligung der betroffenen Person nach hinreichender Aufklärung. Wir haben bezüg- lich des Aufklärungsinhalts einige Anpassungen gefordert, welche für die betroffenen Personen die Transparenz der Datenbearbeitung erhö- hen sollen. Ferner haben wir unsere Bedenken bezüglich der geplanten Abschaffung der Expertenkommission für das Berufsgeheimnis in der medizinischen Forschung ausgedrückt und die Beschneidung unserer Aufsichts- und Beschwerdebefugnis kritisiert. Im Rahmen des Vernehmlassungsverfahrens haben wir zum Vorentwurf zu einer Ver- fas sungsbestimmung und einem Bundesgesetz über die Forschung am Menschen (HFG) Stellung genommen. Die Bestimmungen regeln in umfassender Weise das ge- samte Gebiet der Forschung am Menschen im Gesundheitsbereich.
49 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Wir haben es sehr begrüsst, dass nebst den Richtlinien der Schweizerischen Aka- demie der medizinischen Wissenschaften (SAMW) nun eine gesamtschweizerische Reglementierung zur Forschung am Menschen und insbesondere zum Umgang mit Personendaten und biologischen Materialien in Angriff genommen wurde. Diese für die Persönlichkeitsrechte der Datenspenderinnen und -spender äusserst wichtige Thematik bedarf klarer verfassungsrechtlicher und gesetzlicher Regelungen, welche die datenschutzrechtlichen Aspekte berücksichtigen und ernst nehmen. Als Schlüs- selprinzip der Bearbeitung von Personendaten und biologischen Materialien gilt dabei der so genannte „informed consent“, also die freie Zustimmung nach hinreichender Aufklärung. Demnach sind Einwilligung und Aufklärung unabdingbare Vorausset- zungen für jegliche Forschungstätigkeit. Vorweg haben wir angeregt, im Zweckartikel des Gesetzesentwurfes den Persönlich- keitsschutz stärker zu betonen; dies in Anlehnung an den neu formulierten verfas- sungsrechtlichen Auftrag, unter Beachtung der Forschungsfreiheit für den Schutz der Menschenwürde und Persönlichkeit zu sorgen. Ausgangspunkt einer gesetzlichen Re- ge lung der Forschung am Menschen muss die Wahrung der Rechte der Probanden und Spender sein. Angesichts der Sensibilität der Forschungsdaten, welche grösstenteils besonders schützenswerte Personendaten im Sinne des DSG darstellen, hätten wir es zudem begrüsst, wenn bei der Ausarbeitung des HFG spezifi schere Datenschutzbe- stimmungen in den Gesetzestext eingefl ossen wären. Der im Vorentwurf enthaltene generelle Verweis auf das DSG erschien uns zu pauschal und ohne Konturen. Das HFG erklärt die Einwilligung nach hinreichender Aufklärung und angemessener Bedenkzeit bei der medizinischen Forschung zum Grundprinzip. Somit darf grund- sätzlich ohne Einwilligung des Betroffenen keine medizinische Forschung mit seinen Daten oder biologischen Materialien betrieben werden. Diesen Grundsatz haben wir sehr begrüsst, trägt er doch dem Erfordernis der Transparenz und der Rechtfertigung der Datenbearbeitung Rechnung. Abgelehnt haben wir in diesem Zusammenhang die im HFG vorgesehene Möglichkeit einer irreführenden Aufklärung für Forschungspro- jekte, bei denen dies aus methodischen Gründen zwingend wäre. Eine irreführende Aufklärung widerspricht dem Grundsatz des informed consent fundamental und ist daher keinesfalls zulässig. Des Weiteren haben wir angeregt, dass die Aufklärung im- mer auch das Widerspruchsrecht und das jederzeitige Widerrufsrecht umfassen muss. Sofern die betroffene Person von ihrem Widerrufsrecht Gebrauch macht, haben wir ge fordert, dass die bereits erhobenen Personendaten entweder anonymisiert oder gelöscht und die biologischen Materialien vernichtet werden.
50 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Das HFG sieht vor, dass biologische Proben und Personendaten zu Forschungszwe- cken auch ins Ausland ausgeführt werden dürfen. Da diese Ausfuhr mit einem erhöh- ten Risiko für Persönlichkeitsverletzungen der Spenderinnen und Spender einhergeht, haben wir es begrüsst, dass die Proben und Daten ausschliesslich in pseudonymi- sierter oder anonymisierter Form transferiert werden dürfen. Zudem haben wir gefor- dert, dass bei einer Ausfuhr ins Ausland zwingend entsprechende Vernichtungs- und Rückgaberegelungen für die Proben und Daten vorgesehen werden. Zur Erhöhung der T ransparenz haben wir angeregt, dass die betroffenen Personen bei der Aufklärung be- reits auf die Möglichkeit des Daten- und Probentransfers ins Ausland und das entspre- chende Widerspruchsrecht aufmerksam gemacht werden. Ebenso müssen Personen, die an einem Forschungsprojekt teilnehmen, über allfällige gesetzliche Offenlegungs- und Mitteilungspfl ichten der Forschungsresultate ausserhalb des Forschungskontexts (bspw. an Versicherungen) sowie über gesetzliche Zugriffsrechte Dritter aufmerksam gemacht werden. Nur so erhält die betroffene Person umfassende Transparenz darü- ber, was mit ihren Daten und Proben geschieht. Schliesslich bedauern wir die im HFG geplante Abschaffung der Expertenkommis- sion für das Berufsgeheimnis in der medizinischen Forschung. Dieses gestützt auf Art. 321bis StGB und Art. 32 DSG eingeführte Gremium erfüllt heute eine wichtige Aufgabe zur Gewährleistung der Einhaltung des Datenschutzes in der medizinischen Forschung. Es entscheidet über die Aufhebung des Arztgeheimnisses, wenn die Zu- stimmung der betroffenen Personen nicht (mehr) eingeholt werden kann, sowie über die Bedingungen und Aufl agen bei der Weiterleitung der Daten an Dritte. Gemäss dem Vorentwurf soll diese Aufgabe nun von den zuständigen Ethikkommissionen über- nommen werden. Wir haben ernsthafte Bedenken dazu geäussert, denn es ist frag- lich, ob die datenschutzrechtlichen Aspekte mit der Abschaffung der Expertenkom- mission ausreichend berücksichtigt werden. Die Aufgaben der Ethikkommissionen sind nämlich anders gelagert und umfassen primär die Bewilligung und inhaltliche Beurteilung von Forschungsprojekten. Das HFG trägt diesem Umstand aus unserer Sicht zu wenig Rechnung. Insbesondere werden im HFG nicht alle Voraussetzungen übernommen, welche gemäss Art. 321bis StGB und gemäss der Verordnung über die Offenbarung des Berufsgeheimnisses (VOBG) für die Erteilung einer Forschungs- bewilligung vorliegen müssen. Einhergehend mit der Abschaffung der Expertenkom- mission für das Berufsgeheimnis werden auch die bestehenden Aufsichts- und Be- schwerdekompetenzen des EDÖB in der medizinischen Forschung beschnitten. Wir haben hier gefordert, dass gewisse dieser Kompetenzen (Aufsicht über die Einhaltung von Datenschutzaufl agen und die Aufklärung der Patientinnen und Patienten durch die Ärzteschaft; Beschwerderecht gegen Entscheide der Ethikkommissionen, die den Datenschutz betreffen) in der medizinischen Forschung aufrecht erhalten bleiben und die materiellen Bestimmungen des HFG entsprechend geändert werden.
51 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.4.2 Bearbeitung von medizinischen Daten im Auftragsverhältnis Der auch informatikseitig immer komplexer werdende Spitalalltag führt zu neuen Fragestellungen, etwa mit Blick auf die speicherintensiven Daten bildgebender Systeme. Infolge einer Anfrage aus der Privatwirt- schaft haben wir die rechtlichen Rahmenbedingungen der Auslagerung medizinischer Daten durch Privatspitäler an Dritte zum Zweck der Da- tensicherung und der Fernwartung refl ektiert. Zahlreiche Spitäler nehmen beim Umgang mit den im Spitalalltag anfallenden Daten Unterstützung aus der Privatwirtschaft in Anspruch. Erstmals ist in diesem Berichtsjahr ein Unternehmen mit der Frage an uns herangetreten, ob Patientendaten ausserhalb der Spitalräumlichkeiten – namentlich auch im Ausland – bearbeitet werden dürften. In diesem Zusammenhang gilt es vor allem festzuhalten, dass eine Übertragung der Patientendatenbearbeitung an Dritte infolge des strafrechtlich relevanten Berufsge- heimnisses des Arztes grundsätzlich nur bei vorliegender Einwilligung sämtlicher betroffenen Personen zulässig ist. Will man bei einem Outsourcing ausnahmsweise ohne Einwilligungserklärungen vorgehen, muss mittels technisch-organisatorischer Massnahmen sichergestellt werden, dass die beauftragten Dritten keinen Zugriff auf medizinische Daten erhalten. In der Praxis der Patientendatenbearbeitung zeigt sich, dass dies bei der Datenarchivierung und insbesondere bei der Fernwartung eine an- spruchsvolle Aufgabe ist. Wird sie nicht umfassend gelöst, ist ein Outsourcing im Be- reich der Patientendaten weder strafrechts- noch datenschutzkonform. Sollen Daten ausserdem gar ins Ausland transferiert werden, ist zu prüfen, ob im Emp- fängerland ein gleichwertiger Datenschutz gegeben ist. Sollte dies nicht der Fall sein, sind entsprechende Vorsichtsmassnahmen erforderlich (näheres unter www.edoeb. admin.ch, Themen – Datenschutz – Übermittlung ins Ausland). Überdies stünden wir einer Bearbeitung von Patientendaten auf dem Hoheitsgebiet der USA angesichts der jüngeren amerikanischen Rechtsentwicklung tendenziell skeptisch gegenüber. Auf eine Prüfung, ob und wie ein unerwünschter Zugriff auf schweizerische Patienten- daten auf der Grundlage der Anti-Terrorgesetzgebung verhindert werden kann, dürfte bei einem solchen Projekt nicht verzichtet werden; allein die Berufung auf das Safe- harbour-Prinzip vermag an diesem Ergebnis nichts zu ändern.
52 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.4.3 Bekanntgabe von Diagnosedaten (DRG) an die Versicherer durch die Spitäler Mit Hilfe von Codierungen können umfangreiche Informationen in kür- zester Form dargestellt werden. Diagnosen sind solche Informationen. Durch die Diagnosis Related Groups (DRG) werden Diagnosen nach Fall- gruppen codiert. Die Anwendung der DRG war Anlass für einige Anfra- gen an uns. Zur Zeit besteht keine genügende rechtliche Grundlage für die systematische Weitergabe detaillierter medizinischer Daten durch Leistungserbringer an Versicherer. Für die Abgeltung der Aufenthalte im stationären akutsomatischen Bereich soll in Zu- kunft eine diagnosebezogene Fallkostenpauschale angewendet werden. Zu diesem Zweck wird in einer ersten Phase eine nationale Datenbank aufgebaut. In einer zwei- ten Phase werden Leistungen der Spitäler anhand der errechneten Fallkostenpau- schale durch die Versicherer vergütet. In beiden Phasen sind detaillierte Diagnosen erforderlich. Di e datenschutzrechtlichen Anforderungen unterscheiden sich je nach Phase. Der Aufbau der Datenbank muss zwingend mit anonymisierten Daten erfolgen. In der zweiten Phase, also der eigentlichen Anwendung der DRG, sind die Daten personen- bezogen. Es handelt sich um eine systematische Weitergabe sehr detaillierter medizi- nischer Daten vom Leistungserbringer an den Versicherer. Dies ist nach der geltenden gesetzlichen Regelung nicht zulässig. Wenn die diagnosebezogene Fallkostenpau- schale in Zukunft als Grundlage für die Leistungsabrechnung angewendet werden soll, müssen zuerst die gesetzlichen Grundlagen erarbeitet werden.
53 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.4.4 Datenschutz in der Arztpraxis Eine moderne Arztpraxis erfordert einen praktischen und wirksamen Schutz der Informatikinfrastruktur und vor allem der Patientendaten. Anfragen an uns und Reaktionen von Ärztinnen und Ärzten während Referaten zum Datenschutz im Gesundheitswesen lassen eine gewisse Verunsicherung bezüglich sinnvoller Massnahmen erkennen. Darum haben wir uns entschieden, einen Katalog für minimale Schutzmass- nahmen zu veröffentlichen. Vereinfacht kann eine Arztpraxis in vier Bereiche aufgeteilt werden: Der erste Bereich ist der Server mit den zentralen Funktionen und Patientendaten. Hier gilt es, einerseits jeden ungewollten Zugriff auf das System durch einen wirksamen P asswortschutz zu verhindern, und andererseits, Datenverlusten durch gute Back- upstrategien vorzubeugen. Der zweite Bereich umfasst die gesamte Praxisinfrastruktur. Die Geräte sind mehrheit- lich durch ein Netzwerk miteinander verbunden. Hier muss darauf geachtet werden, dass nicht überfl üssige und in der Folge unkontrollierte Geräte mit dem Netz verbun- den sind. Die peripheren Geräte müssen so konfi guriert sein, dass ein Fremdzugriff nicht möglich ist, und so aufgestellt werden, dass ein Einblick, z.B. über den Bildschirm, für Unbefugte verhindert wird. Der nächste Bereich ist das private Büro des Arztes, z.B. zu Hause. Die Übertragung von Patientendaten über das Internet muss auf jeden Fall verschlüsselt erfolgen. Bes- ser ist es, die benötigten Daten vorher in der Praxis auf den Laptop zu kopieren und zu verschlüsseln. Den vierten Bereich bilden die öffentlichen Netze, insbesondere das Internet. Grund- sätzlich müssen die Praxissysteme von den öffentlichen Netzen getrennt sein. Sowohl die Wartungsarbeiten an den Praxissystemen als auch der Zugriff von der Praxisin- frastruktur auf das Internet müssen kontrolliert erfolgen. Das bedeutet, dass alle Ak- tivitäten zwischen Praxis und den öffentlichen Netzen über eine Firewall geschützt werden müssen. Besonders sollten keine Dateien vom Internet auf die Praxissysteme her unter geladen werden. Die Fernwartung sollte nicht über das Internet, sondern über dedizierte Fernwartungsmodems erfolgen.
54 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Trotz allen technischen Massnahmen dürfen grundsätzliche Voraussetzungen nicht vergessen werden: Der Umgang mit den Patientendaten soll nur wenn erforderlich und immer mit der nötigen Umsicht erfolgen. Und der Arzt muss jederzeit Kenntnis über den aktuellen Zustand seiner Praxisinformatik haben. Ausführlichere Anforderungen sind auf unserer Homepage und auf einer CD der Schweizerischen Gesellschaft für Allgemeinmedizin (www.sga m.ch/informatics) zu fi nden. 1.4.5 Aufsicht über die Umsetzung der Aufl agen der Expertenkommission im Bereich der medizinischen Forschung In der medizinischen Forschung wird häufi g der Begriff „anonymisierte Daten“ verwendet. In den meisten Fällen handelt es sich dabei jedoch um pseudonymisierte Daten. Bei anonymisierten Daten ist es unmög- lich oder unverhältnismässig schwierig, die jeweilige Person zu iden- tifi zieren. Im Gegensatz dazu ist bei pseudonymisierten Daten eine Identifi kation möglich. Im Übrigen mussten wir auch in diesem Jahr feststellen, dass weitere Kontrollen im Bereich der medizinischen For- schung erforderlich sind. Im Bereich der medizinischen Forschung mussten wir feststellen, dass der Begriff „an- onymisierte Daten“ nicht immer richtig angewendet wird. In vielen Fällen werden bei d en Forschungsprojekten pseudonymisierte Daten verwendet. Von Pseudonymisie- rung spricht man, wenn die identifi zierenden Daten von den restlichen Daten getrennt werden. Die Zuordnung der beiden Datenbereiche erfolgt beispielsweise durch eine bestimmte Nummer, die sowohl bei den identifi zierenden als auch bei den restlichen Daten vorhanden sein muss. Somit ist eine Zusammenführung der beiden Datenteile wieder möglich (Depseudonymisierung). Es gibt Forschungsvorhaben, bei denen man zum Beispiel im Verlauf der Forschungsprojektes feststellt, dass man noch auf weitere Informationen angewiesen ist. In einem solchen Fall besteht bei pseudonymisierten Daten die Möglichkeit, die Identität der Person festzustellen, damit die zusätzlichen Informationen erhoben werden können. Dabei ist darauf zu achten, dass die Dep- seudonymisierung messbar (also nachvollziehbar) zu gestalten ist. Es darf nicht sein, dass der Forschende selbständig eine Depseudonymisierung vornehmen kann (Funk- tionstrennung). Im Gegensatz dazu sind Daten anonymisiert, wenn sie nur mit einem unverhältnismässig grossen Aufwand an Arbeit, Zeit und Kosten einer bestimmten oder bestimmbaren Person zugeordnet werden können.
55 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Auch in diesem Jahr haben wir im Bereich der medizinischen Forschung Kontrollen durchgeführt, um festzustellen, wie die Aufl agen der Expertenkommission umge- setzt werden (vgl. auch unseren 13. Tätigkeitsbericht 2005/2006, Ziffer 4.1.2). In den meisten Fällen war der räumliche Zugang zu den Informationssystemen gut abgesi- chert, so dass wir diesbezüglich keine Beanstandungen machen mussten. In einem Fall mussten wir allerdings darauf hinweisen, dass eine saubere Trennung zwischen den aktuellen und den archivierten Projektdaten vollzogen werden muss und dass ein Zugriff auf nicht anonymisierte Archivdaten entsprechend messbar zu gestalten ist. Im Weiteren konnten wir bei einem Spital feststellen, dass die Forschungsprojekte insbesondere mit Hilfe der Daten, die sich im zentralen Papierarchiv befi nden, durch- geführt werden. Es konnte uns aber nicht mitgeteilt werden, ob auch aufgrund elektro- nischer Datensammlungen Forschungsvorhaben durchgeführt werden können, weil die entsprechenden Angaben nicht vorlagen. Leider mangelt es in diesem Umfeld an Transparenz, so dass eine befriedigende Umsetzung des Datenschutzes wohl kaum möglich ist. Wir werden auch weiterhin Kontrollen im Bereich der medizinischen Forschung vor- nehmen.
56 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.5 Versicherungen 1.5.1 Datenschutzrechtliche Aspekte der Einführung einer Versichertenkarte Die Erarbeitung der technischen Grundlagen und der Verordnungsent- wurf sind die grossen Etappen des Projekts Versichertenkarte in der vergangenen Periode. Die Einführung der Versichertenkarte ist für un- ser Gesundheitswesen ein fundamentales Ereignis. Deshalb ist es auch von zentraler Bedeutung, dass die grundsätzlichen Anforderungen des Datenschutzes strikt eingehalten werden. Fehler in der Anfangsphase auf dem Weg zur Gesundheitskarte sind später nur mit einem hohen organisatorischen und fi nanziellen Aufwand zu beheben. In der Erklärung zum Verordnungsentwurf zur Versichertenkarte erwähnt das Bundes- amt für Gesundheit (BAG), dass der Art. 42a Abs. 4 des Bundesgesetzes über die Kran- kenversicherung (KVG) als ein erster Schritt hin zu einer Gesundheitskarte angelegt ist. Dieser erste Schritt bringt mit sich, dass neben rein administrativen Daten auch Daten mit medizinischer Aussagekraft über die versicherte Person auf der Karte gespeichert sein sollen (vgl. dazu unseren 13. Tätigkeitsbericht 2005/2006, Ziffer 5.1.1). Das Ein- verständnis des Versicherten bildet die dafür zwingende Voraussetzung; so lautet die Forderung des Gesetzgebers. Damit der Versicherte sein Einverständnis geben kann, ist er auf eine klare, verständliche und umfassende Information über die Bearbeitung seiner Daten angewiesen. Im Verordnungsentwurf wird der Umfang der Daten abschliessend aufgezählt: Blut- gruppen- und Transfusionsdaten; Immunisierungsdaten; Transplantationsdaten; Aller- gien; Krankheiten und Unfallfolgen; in medizinisch begründeten Fällen ein zusätzlicher Eintrag; Medikation; eine oder mehrere Kontaktadressen für den Notfall und Hinweise auf bestehende Patientenverfügungen. Diese Daten sollen zur Verbesserung der Effi zi- enz, der Sicherheit und der Qualität der medizinischen Behandlung auf der Versicher- tenkarte abgespeichert werden. Zugriff auf diese Daten haben Ärzte, Apotheker, Zahnärzte, Chiropraktiker, Hebammen, Physiotherapeuten, Ergotherapeuten, Pfl egefachpersonal, Logopäden und Ernährungs- berater. Die Speicherung und der Zugriff erfolgen nur mit dem Einverständnis der ver- sicherten Person. Die Aufklärung des Patienten erfolgt, so sieht es der Verordnungs- entwurf vor, durch die oben aufgezählten Leistungserbringer.
57 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Diese Erweiterung von einer administrativen Karte für die Rechnungsstellung der Leistungen nach dem KVG zu einer Karte mit Gesundheitsdaten hat nicht zuletzt Fol- gen für die Persönlichkeitsrechte der Versicherten und muss daher datenschutzkon- form gestaltet werden. Es muss erstens sichergestellt sein, dass die Daten für den vom Gesetzgeber vorge- sehen Zweck geeignet sind. Die uns vorliegenden Stellungnahmen von Leistungser- bringern lassen indessen bislang auch bei einer grosszügigen Interpretation nicht er- kennen, dass dem so ist. Das Gegenteil ist der Fall. Einige Daten, wie z.B. die Blutgrup- pen- und Transfusionsdaten, würden gemäss Ärztevereinigung FMH dem Patienten allenfalls höchstens ein Sicherheitsgefühl vermitteln. Die Angaben zu Krankheiten und zur Medikation ihrerseits sind besonders problematisch, denn es gibt keine Garantie dafür, dass sie tatsächlich immer vollständig und aktuell sind. Auch von Seiten des Schweizer Spitalverbands H+ gibt es keine klare Aussage zur Zweckmässigkeit der Gesundheitsdaten auf der Versichertenkarte. Er erachtet die Vermischung von Versi- cherungs- und Gesundheitskarte als unglücklich. Zweitens muss sichergestellt sein, dass sich der Patient über die Konsequenzen seiner Einwilligung oder Nichteinwilligung im Klaren ist und er daher entsprechend informiert wird. Da die Daten über heikle und intime Ereignisse und Zustände des Patienten Auskunft geben können, muss die Information besonders umfassend und verständlich sein. Der Patient muss wissen, wer seine Angaben zu welchem Zweck nutzen wird. Nur so kann er zwischen Vor- und Nachteilen seiner Einwilligung abwägen. Es stellt sich indessen die Frage, wer ihm diese Information geben soll. Der grösste Teil der Leistungserbringer bzw. ihrer Vertreter verneinen die Zweckmässigkeit der Speiche- rung medizinischer Daten auf der Karte. Sie könnten demnach nur unter Vortäuschung eines Zwecks eine Einwilligung des Patienten herbeiführen. Das kann aber nicht das Ziel der Versichertenkarte sein. Und schliesslich müssen die Rahmenbedingungen für die Bearbeitung der Gesund- heitsdaten erfüllt sein. Es ist nur ungenügend oder gar nicht geregelt, was genau mit diesen Daten in der praktischen Anwendung geschieht und wer welche Verantwor- tungen für die einzelnen Angaben trägt. Gemäss Kommentar zum Verordnungsent- wurf kann die versicherte Person aus der Liste die Datenkategorien auswählen, die sie auf der Versichertenkarte abspeichern lassen will. Offen bleibt aber, ob der Wunsch des Patienten verbunden mit der Einwilligung des Leistungserbringers oder aber um- gekehrt der Vorschlag des Leistungserbringers verbunden mit dem Einvers tändnis des Patienten dafür ausschlaggebend ist, welche medizinischen Daten auf der Karte ge- speichert werden. Wenn einer dieser drei Punkte nicht erfüllt ist, bestehen grosse Zweifel an der Recht- mässigkeit der Versichertenkarte im vorgesehenen Umfang.
58 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Viele datenschutzrechtlich relevanten Fragen sind also noch nicht geregelt. Bei den Leistungserbringern fehlt die Akzeptanz für die Bearbeitung der Gesundheitsdaten. Deshalb haben wir sowohl in der Fachgruppe zur Erarbeitung der technischen Stan- dards als auch in Stellungnahmen zum Verordnungsentwurf vom BAG gefordert, auf die Speicherung medizinischer Daten zu verzichten. Das Risiko ist zu gross, dass Pati- enten einer Bearbeitung ihrer Gesundheitsdaten ausdrücklich zustimmen, ohne über den Zweck der Bearbeitung genügend informiert zu sein. 1.5.2 Transparenz der Datenbearbeitung im Verfahren der Unfallversicherung Wir haben uns zur ersten Etappe der Revision des Unfallversicherungs- ges etzes vernehmen lassen. Aus Sicht des Datenschutzes ist zu for- dern, dass sich im Unfallversicherungsbereich die Transp arenz der Datenbearbeitung nicht verschlechtert. Dies wäre der Fall, würde die Informationsbeschaffung durch die Unfallversicherung künftig ohne Er- mächtigung der verunfallten Person geschehen. Im Jahr 2003 trat das Bundesgesetz über den Allgemeinen Teil des Sozialversiche- rungsrechts in Kraft (ATSG). In Rahmen dieses Erlasses wurde für den gesamten Be- reich der Sozialversicherungen zur Regel erhoben, dass Versicherte, die vom Sozial- versicherer Leistungen beziehen wollen, diesen zur Informationsbeschaffung ermäch- tigen müssen (Artikel 28 Absatz 3 ATSG). Der Revisionsentwurf des Bundesgesetzes über die Unfallversicherung (UVG) sieht nun vor, diese Regel im Unfallversicherungsbe- reich künftig nicht mehr anzuwenden. Wir haben uns im Rahmen der Vernehmlassung dafür eingesetzt, dass dieses Vorhaben nicht umgesetzt wird. Die im ATSG vorausgesetzte Ermächtigung zur Informationsbeschaffung ist von ei- niger Bedeutung. Wird sie nicht erteilt, kann die mangelnde Bereitschaft zur Mitwir- kung für den Versicherten unangenehme Folgen haben. Gleichzeitig haben die Ver- sicherten vom Erfordernis der Ermächtigungserklärung aber auch einen Gewinn: Bei ihrer Erteilung erhalten sie über den Umstand der Informationsbeschaffung und deren Adressaten gesicherte Kenntnisse; nur so wird für die betroffene Person die Datenbe- arbeitung des Sozialversicherers einigermassen transparent. Auch wenn einzuräumen ist, dass die Unfallversicherer für die Abwicklung ihrer Ver- sicherungsfälle ein vergleichsweise grosses Informationsbedürfnis haben, sollte am bisherigen System der Ermächtigungserklärung festgehalten werden. Der Anspruch auf transparente Datenbearbeitung darf ohne zwingenden Grund nicht geschmälert werden.
59 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.6 Arbeitsbereich 1.6.1 Datenschutzkontrolle bei der Firma ALDI SUISSE AG Im Verlauf des Jahres 2006 haben wir eine Filiale der Firma ALDI SUIS- SE AG einer eingehenden Datenschutzkontrolle unterzogen. Hauptau- genmerk galt dem Bereich der Videoüberwachung im Detailhandel. Der Hauptzweck der Überwachung – Schutz gegen Diebstahl und Überfall – wurde dem Verhältnis und der Intensität des Eingriffs in die Persönlich- keitsrecht e gegenüberstellt. Nach differenzierter Gesamtbeurteilung mussten aus datenschutzrechtlicher Sicht diverse Anpassungen emp- fohlen werden. Nebst diversen Verbesserungen und Verfeinerungen hat ALDI insbesondere die Kameras im Kassenbereich so zu fokussieren, dass Aufnahmen von Mitarbeitenden nicht mehr möglich sind. Zudem hat sich ALDI verpfl ichtet, bis spätestens Ende 2008 in der Videoüber- w achung datenschutzfreundliche Technologien (Privacy-Filter) einzu- setzen. In der Konsumwelt herrscht ein reges Interesse, das Auftreten und Verhalten der Kund- schaft im wahrsten Sinne des Wortes zu durchleuchten. Nachdem wir 2005 als Da- tenaufsichtsbehörde im Rahmen einer Kontrolle bei Migros und Coop geprüft haben, ob die Datenbearbeitung bezüglich M-CUMULUS resp. Supercard datenschutzkonform erfolgt (s. unseren 13. Tätigkeitsbericht 2005/2006, Ziffern 7.1 und 7.2), unterzogen wir 2006 die Firma ALDI SUISSE AG einer Kontrolle der Videoüberwachungsanlage. ALDI hat in der letzten Zeit mehrere Verkaufsfi lialen in der Schweiz eröffnet. Wie alle Detailhändler sieht sich auch ALDI mit dem Problemkreis von Überfall und Diebstahl konfrontiert. Zu deren Bekämpfung dient – nebst verschiedenen baulichen und organi- satorischen Vorkehrungen – auch der Einsatz eines Videoüberwachungssystems. Die Filialen von ALDI sind standardisiert aufgebaut. Wo Videoüberwachungssysteme be- t rieben werden, tangieren diese eine Vielzahl von Personen (Mitarbeitende, Lieferanten, Kundinnen und Kunden). Die Durchführung unserer Kontrolle erfolgte insbesondere im Hinblick auf die allgemeine Problematik der Videoüberwachung im Detailhandel während der Arbeitszeit sowie der allgemeinen Öffnungszeiten. Die gewonnenen Er- kenntnisse und die daraus erfolgten Empfehlungen sollen auch andere Anwender von Videoüberwachungsanlagen im erweiterten Bereich des Dienstleistungssektors dazu veranlassen, die notwendigen Korrekturen vorzunehmen, sofern daselbst Mängel be- stehen.
60 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Eine Videoüberwachungsanlage verfolgt mit der Sicherung der Ware sowie der Auf- klärung allfällig erfolgter Diebstähle und Überfälle nachvollziehbare Zwecke. Vor dem Einsatz einer Videoüberwachungsanlage sind stets andere geeignete Massnahmen zu überprüfen, welche weniger in die Persönlichkeitsrechte der Betroffenen eingrei- fen. Drängt sich eine Videoüberwachung auf, ist bei der Umsetzung des angestrebten Zwecks die persönliche Integrität der Kundinnen und Kunden sowie der Mitarbeiten- de n in Relation zum angestrebten Zweck zu setzen. Dies betrifft insbesondere die Überwachung der Kassenzone und die Überwachung des Verkaufsraums. Kameras sind allesamt so auszurichten, dass nur die für den erfolgten Zweck notwendigen Bil- der in ihrem Aufnahmefeld erscheinen (vgl. das Merkblatt „Videoüberwachung durch private Personen“ auf unserer Website). Dies bedeutet, dass mit Kameras im Eingangs- bereich keine Aussenräume ins Aufnahmefeld geraten dürfen, die von blossen Pas- santen beansprucht werden. Auf Augenhöhe angebrachte Plakate in angemessener Grösse müssen im Eingangsbereich klar ersichtlich darauf hinweisen, dass Überwa- chungskameras installiert sind, die alle Personen vom Betreten bis zum Verlassen der Filiale fi lmen. Für die Videoüberwachung im Verkaufsbereich sind die Kameras so aus- zurichten, dass primär Waren mit einem gewissen Geldwert fokussiert werden, die von Kunden unschwer in Taschen, Jacken oder Ähnlichem versteckt. Obschon ALDI in seinen Betriebsanweisungen explizit darauf hinweist, dass Kameras nicht zur Über- wachung des Personals eingesetzt werden dürfen, hat die Datenschutzkontrolle erge- ben, dass die Kameras in der Kassenzone auch die Kassenmitarbeiter in ihren Blick- winkel miteinbezogen haben. Damit soll ALDI keineswegs unterstellt werden, dass je die Absicht bestanden hat, Mitarbeitende zu überwachen. Allein die Möglichkeit dazu muss ausgeschlossen sein. Im Bereich des Arbeitsgesetzes gilt als unumstössliche Gesundheitsvorsorge, dass Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmenden am Arbeitsplatz überwachen sollen, nicht eingesetzt werden dürfen. Wenn sich Überwachungs- oder Kontrollsysteme aus anderen Gründen als erforderlich erweisen, so sind sie insbesondere so zu gestalten und anzuordnen, dass die Gesundheit und die Bewegungsfreiheit der Arbeitnehmenden dadurch nicht be- einträchtigt werden. Die Auswertung der Videoüberwachung ist bei ALDI nicht allen Mitarbeitenden zu- gänglich. Sie ist streng reglementiert und bei begründetem Verdacht nur berechtigten Personen mittels Passwort zur Überprüfung zugänglich. Wir haben im Zuge der Kon- trolle geltend gemacht, dass im Bereich der verhältnismässigen und „erlaubten“, d.h. gesetzeskonformen Videoüberwachung demnächst datenschutzfreundliche Techno- logien (Privacy-Filter) zum Standard des Datenschutzes werden. Diesen Technologien ist eigen, dass überwachte Personen nicht persönlich erkennbar sind. Erst bei be-
61 14. Tätigkeitsbericht 2006/ 2007 des EDÖB gründetem Verdacht können Personen von berechtigten Aufsichtspersonen kenntlich gemacht werden. Beim Einsatz dieser datenschutzfreundlichen Technologien können Bildschirme stets eingeschaltet bleiben. Der Einsatz solch datenschutzfreundlicher Technologien wurde ALDI bis spätestens Ende 2008 empfohlen. Es ist uns ein zentrales Anliegen, dass bei Videoüberwachungen im Bereich des Dienstleistungssektors aus datenschutzrechtlichen Gründen nur noch solche Technologien zum Einsatz gelan- gen. Die ALDI SUISSE AG hat sämtliche im Schlussbericht aufgeführten Empfehlungen des EDÖB vollumfänglich akzeptiert (der Kontrollbericht fi ndet sich auf unserer Website www.edoeb.admin.ch). Nebst verschiedenen Neuausrichtungen von Kameras werden insbesondere diejenigen im Kassenbereich aller Filialen bis Ende März 2007 so fokus- siert, dass Aufnahmen von Mitarbeitenden an der Kasse ausgeschlossen sind. A LDI hat sich ausserdem dazu verpfl ichtet, zur Überwachung ihrer Filialen datenschutz- freundliche Technologien (Privacy-Filter) einzusetzen, sobald diese von ihrem System- Lieferanten lieferbar sind, spätestens aber bis Ende 2008. 1.6.2 Voraussetzungen für das Einholen von Strafregisterauszügen im Unternehmen U m die eigenen Sicherheitsinteressen zu schützen und internationa- len Standards zu genügen, holt ein Transportunternehmen Strafregi- sterauszüge seiner Angestellten ein. Wir haben diese Massnahme auf ihre Datenschutzkonformität hin geprüft und sind zum Schluss gekom- men, dass sie grundsätzlich gerechtfertigt ist. Gleichzeitig haben wir das Unternehmen darauf hingewiesen, dass sie einen schweren Ein- griff in die Persönlichkeit der Angestellten darstellt und daher in trans- parenter und verhältnismässiger Weise zu erfolgen hat. Infolge verschiedener Anfragen von Angestellten einer Transportfi rma haben wir uns mit der Frage befasst, unter welchen Umständen ein Arbeitgeber Strafregisterauszüge eines Angestellten einholen darf. Im vorliegenden Fall hatte sich die Transportfi rma aufgrund des Warenwertes, des Anstiegs von Warenverlusten, aber auch infolge inter- nationaler Frachtsicherheitsstandards und zur Verbesserung der Wettbewerbsfähig- keit für die Einholung des Strafregisterauszugs entschieden. Die zu schützende Ware umfasst unter anderem Gefahrengut und Hochpreisgüter. Laut Angaben der Firma bil- det die Einholung des Strafregisterauszugs nur eine Massnahme eines umfassenden Sicherheits- und Massnahmenpaketes, welches die Unversehrtheit und Erhaltung der umgeschlagenen Güter und Waren sicherstellen soll.
62 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Wir haben zur angesprochenen Problematik Folgendes festgehalten: Jede Bearbei- tung von Personendaten bedarf gemäss Datenschutzgesetz einer Rechtfertigung. Als solche gelten die Einwilligung der betroffenen Person, ein überwiegendes Interesses oder ein Gesetz. Da im vorliegenden Fall weder das Gesetz noch die Einwilligung der betroffenen Person als Rechtfertigungsgrund in Frage kommen, haben wir geprüft, ob ein überwiegendes privates oder öffentliches Interesse die Einholung der Strafregi- sterauszüge der Angestellten des Unternehmens rechtfertigen kann. Obwohl der Eingriff in die Persönlichkeit der betroffenen Personen schwer sein kann, sind wir im vorliegenden Fall davon ausgegangen, dass die Sicherheitsinteressen des Unternehmens überwiegen. Dazu ist aber anzumerken, dass das Strafregister beson- d ers schützenswerte Daten – nämlich solche, die strafrechtliche Verfolgungen und Sanktionen betreffen – im Sinne des Datenschutzgesetzes enthält. Die Einsicht in den Strafregisterauszug durch Dritte stellt einen schweren Eingriff in die Persönlichkeit der betroffenen Person dar. Sie setzt neben einem Rechtfertigungsgrund auch eine Notwendigkeit sowie ein vernünftiges Verhältnis zwischen Bearbeitungszweck und Persönlichkeitsbeeinträchtigung voraus. Zunächst galt es also zu prüfen, ob nicht andere Massnahmen, die weniger tief in die Persönlichkeit der Angestellten eingreifen, den verfolgten Zweck erfüllen würden. Diesbezüglich hat das Unternehmen eine Reihe von Sicherheitsmassnahmen aufgeli- stet, welche u. a. vom Zutrittsmanagement, Rampenüberwachung, Arealsicherung bis hin zu Fahrzeug- und Personenkontrollen gehen. Diese Massnahmen gewährleisteten zwar eine umfassende Sicherheit. Ein absoluter Schutz für die Güter besteht jedoch bei weitem nicht. Einige zum Teil tief in die Persönlichkeit der Angestellten eingreifen- de Sicherheitsmassnahmen wie z. B. die Personenkontrollen können nämlich nicht systematisch, sondern nur stichprobenweise durchgeführt werden. Andere wiederum können durch das Personal womöglich umgangen werden. Aus dieser Optik und in Anbetracht des Wertes der zu schützenden Güter haben wir festgestellt, dass die Ein- holung des Strafregisterauszugs nicht nur als eine nützliche, sondern auch als eine nötige Ergänzung des Sicherheitskonzepts zu betrachten ist. Ei n vernünftiges Verhältnis zwischen Bearbeitungszweck und Persönlichkeitsbeein- trächtigung scheint ebenfalls gegeben zu sein. Das Einholen von Strafregisterauszü- gen darf jedoch nur diejenigen Mitarbeiterkategorien betreffen, welche in irgendeiner Form (d. h. direkt oder durch Informatikmittel/Dokumente) Zugang zur Ware haben.
63 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Weiter gilt es zu beachten, dass nur eine minimale Anzahl Personen in die Strafregi- sterauszüge der Angestellten Einsicht nehmen darf. Das Unternehmen hat uns mitge- teilt, dass die Personalabteilung nach Einholung der Strafregisterauszüge eine erste Triage durchführt. Wir haben festgehalten, dass nicht die gesamte Personalabteilung, sondern nur eine beschränkte Anzahl Angestellte dieser Abteilung auf die Strafregi- sterauszüge Zugriff haben dürfen. Idealerweise ist die Triage direkt durch die Personal- leiterin durchzuführen, ohne Einbezug weiterer Mitarbeitenden der Personalabteilung. Die im Auswertungsprozess involvierten Personen sind überdies auf ihre Vertraulich- keitspfl ichten aufmerksam zu machen. Der Strafregisterauszug darf nur so lange auf- bew ahrt werden, bis der Bearbeitungszweck erfüllt ist. Die erfassten Daten dürfen unberechtigten Dritten nicht zugänglich sein. Wir haben uns schliesslich noch mit der Frage befasst, ob die Massnahme für die An- gestellten in angemessen transparenter Weise erfolgt. Je einschneidender die Daten- bearbeitung in Bezug auf die Persönlichkeitsrechte ist, desto höhere Anforderungen werden an die Transparenz gestellt, die sich aus dem Prinzip von Treu und Glauben ableitet. Da im vorliegenden Fall die Angestellten durch ein Zustimmungsformular in- formiert wurden, erachteten wir dieses Prinzip als respektiert. Selbstverständlich ist für die betroffenen Personen das Auskunftsrecht zu gewährleisten.
64 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.6.3 Der Einsatz von Testkunden in Transportbetrieben Transportbetriebe, die Testkunden zur versteckten Beurteilung ihres Fahrpersonals einsetzen, haben dafür zu sorgen, dass der Schutz der Persönlichkeit der betroffenen Angestellten gewährleistet wird. So muss etwa ein Grossteil der Arbeitszeit unüberwacht bleiben, und die Angestellten müssen die Möglichkeit erhalten, zu den Beurteilungen Stellung zu nehmen und im Streifall mit den betreffenden Testkunden konfrontiert zu werden. Eine Gewerkschaft bat uns, die Praxis eines Transportbetriebs, seine Chauffeure durch anonyme Testkunden versteckt bewerten zu lassen, aus datenschutzrechtlicher Sicht zu beurteilen. Sie machte im Wesentlichen geltend, die fragliche Datenbearbeitung be- zwecke nicht wie offi ziell angegeben die Qualitätssicherung und Qualitätssteigerung, sondern die Überwachung und Beurteilung der Chauffeure. Weiter führte sie aus, die betroffenen Personen würden über den Zeitpunkt der Beurteilungen nicht informiert. Dies führte dazu, dass sich die betroffenen Angestellten ständig überwacht fühlten. Schliesslich wurde beanstandet, dass die betroffenen Personen keinen Zugang zu ih- re n Daten hätten. Die Gewerkschaft kam folglich zum Schluss, dass die fraglichen Beurteilungsdaten auf datenschutzwidrige Art und Weise beschafft würden. Das Transportunternehmen versicherte seinerseits, die versteckte Überwachung die- ne in erster Linie der gezielten Qualitätssicherung und Qualitätssteigerung aus Kun- densic ht. Die Beurteilungsdaten würden nach seinen Angaben nur in bestimmten Regionen als Grundlage und Hilfsmittel für die jährlichen Mitarbeitergespräche des Personals verwendet. Zunächst gilt es festzuhalten, dass die vom Transportunternehmen angegebenen Zwe- cke der Qualitätssicherung und Qualitätssteigerung sowie der Mitarbeiterbeurteilung gegenüber den Interessen der betroffenen, beurteilten Personen am Schutz ihrer Per- sönlichkeit als überwiegend betrachtet werden können. Somit liegt grundsätzlich ein Rechtfertigungsgrund für die Datenbearbeitung im Sinne des Datenschutzgesetzes vor. Um aber als datenschutzkonform erachtet zu werden, muss die Datenbearbeitung auch verhältnismässig sein.
65 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Die Durchführung von verstecken Beurteilungen durch Testkunden stellt je nach Aus- gestaltung und Inhalt im konkreten Einzelfall einen mehr oder weniger intensiven Eingriff in die Persönlichkeitsrechte der Betroffenen dar. Wir sind zum Schluss ge- kommen, dass hier ein Persönlichkeitsprofi l vorliegt. Wir haben folglich unterstrichen, dass die versteckte Beurteilung durch Testkunden nur dann verhältnismässig ist und daher durchgeführt werden darf, wenn sich andere Massnahmen, die die Persönlich- keit weniger beeinträchtigen, als ungenügend oder undurchführbar erweisen. Ist dies der Fall, darf die versteckte Beurteilung durchgeführt werden, allerdings nur während einer beschränkten Periode. Dabei dürfen nur die für den verfolgten Zweck absolut notwendigen Daten bearbeitet werden. Den Fragenkatalog für die Testkunden haben wir grundsätzlich als nötig und geeignet erachtet, um die Beurteilung der Chauffeure in zweckdienlicher Art und Weise durch- führen zu können. Allerdings mussten wir feststellen, dass bestimmte Fragen des Be- urteilungsbogens subjektive Werturteile auslösen können. Nun ist es so, dass sich die Richtigkeit von Daten nur auf Tatsachen beziehen kann, die auch objektiv festgestellt werden können. Subjektive Werturteile lassen sich indessen nur schwerlich als richtig oder unrichtig einordnen. Richtig sind Personendaten dann, wenn sie die Umstände un d Tatsachen, bezogen auf die betroffene Person, sachgerecht wiedergeben. Das Datenschutzgesetz sieht eine Pfl icht des Datenbearbeiters vor, sich über die Richtig- keit der von ihm bearbeiteten Personendaten zu vergewissern. Entsprechend ist ein Berichtigungsanspruch vorgesehen. Die betroffene Person kann nämlich durch die Bearbeitung von unrichtigen Daten erheblich in ihrer Persönlichkeit verletzt werden, etwa wenn eine Firma aufgrund falscher Beurteilungsdaten eine Person entlässt. Gegen die Objektivität der Beurteilungsdaten bzw. gegen deren Richtigkeit spricht im vorliegenden Fall zudem die Tatsache, dass die Testkunden anonym bleiben können. Die Anonymität schützt sie zwar beispielsweise gegen Drohungen, versetzt sie aber gleichzeitig in die Lage, aus einer völlig geschützten Position über einen Chauffeur falsche Tatsachenbehauptungen zu äussern. Die beurteilte Person befi ndet sich dem- gegenüber in einer verwundbaren, ungeschützten Position. Der angeschuldigte Ar- beitnehmer kann möglicherweise zwar ein Gegendarstellungsrecht gegenüber der Firma geltend machen, eine faire und transparente Konfrontation mit dem eigenen Beurteiler, dem Testkunden, ist aber nicht möglich. Es wird beispielsweise auch nicht möglich sein, den Testkunden wegen eventueller Verleumdung oder übler Nachrede erfolgreich verfolgen zu lassen. Die Gleichbehandlung von Testkunde und betroffenem Arbeitnehmer wird aufgrund des Kräfteungleichgewichts somit offensichtlich nicht ge- währleistet.
66 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Problematisch in Bezug auf die Objektivität der Beurteilungsdaten ist ebenfalls die kurze Ausbildungsdauer der Testkunden. Auch der Anstellungsvertrag weist nicht bzw. nur ungenügend auf die Datenschutzproblematik, speziell auf das Bedürfnis der Rich- tigkeit und Objektivität der Daten, hin. Anlass zur Kritik gab uns auch der Umstand, dass die Beurteilungen während des ganzen Jahres stattfi nden sollen. Dem Chauffeur sind weder der Testkunde noch der genaue Zeitpunkt der Beurteilungen bekannt. Das kann dazu führen, dass er das ganze Jahr unter ständigem Überwachungsdruck steht. Dieser Druck kann zu gesundheit- lichen Problemen führen. Obwohl es sich im vorliegenden Fall nicht um eine verbo- tene Verhaltens-, sondern primär um eine zulässige Leistungsüberwachung handelt, wel che nicht durch den Einsatz eines Überwachungssystems im engen Sinne des Wortes durchgeführt wird, ist die Grundproblematik des Gesundheits- und Persönlich- keitsschutzes offensichtlich. Obwohl die besagte Überwachung als geeignet bezeich- net werden kann, die angestrebten Zwecke zu erfüllen, fehlt es sowohl an einer Not- wendigkeit des entsprechenden zeitlichen Umfangs als auch an einem vernünftigen Verhältnis zwischen ganzjähriger Überwachung und Persönlichkeitsbeeinträchtigung. Die Datenbeschaffung und jede weitere Datenbearbeitung muss grundsätzlich für die betroffene Person erkennbar sein. Der Betroffene muss also aus den Umständen he- raus damit rechnen oder er muss entsprechend informiert werden. Aus den Unterla- gen entnahmen wir, dass sowohl über die Zwecke der Überwachung als auch über die bearbeiteten Daten und die Dauer der Überwachungsperiode informiert wurde. Eine Aufklärung über das Auskunftsrecht und die Auskunftsstelle fehlte jedoch. Ebenfalls war eine Information über die gewählten Kontrollperioden nicht vorhanden. Auf grund unserer Beurteilung des Einsatzes von Testkunden haben wir dem Trans- portunternehmen einige Verbesserungsvorschläge unterbreitet. So haben wir ihm nahe gelegt, diejenigen Fragen zu streichen, deren Beantwortung zu stark von sub- jektiven Empfi ndungen des Testkunden abhängt. Wir haben dem Unternehmen in Erin- nerung gerufen, dass das Prinzip der Richtigkeit der Daten als eine Grundanforderung gilt, die ein Datenbearbeiter zu beachten hat. Um die Position des beurteilten Angestellten zu stärken, ist gegebenenfalls eine per- sönliche Konfrontation des Chauffeurs mit dem Testkunden zu ermöglichen. Sowohl die Chauffeure als auch die Testkunden sind vorgängig darüber zu informieren. Wir haben das Transportunternehmen diesbezüglich aufgefordert, dafür zu sorgen, dass der Chauffeur seine Gegendarstellung unverzüglich machen darf. Dies setzt voraus, dass er nicht erst Wochen später mit einer negativen Beurteilung konfrontiert wird, sondern spätestens zwei Tage nach deren Einreichung.
67 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Mit Blick auf das Verhältnismässigkeitsprinzip haben wir folgende Verbesserungsvor- schläge formuliert: Gelegentliche versteckte Beurteilungen sollten in der Regel jeweils vorher angekündigt werden. Um den Interessen des Arbeitgebers, insbesondere der Wirksamkeit der Beurteilung, besser gerecht zu werden, ist es mit dem Persönlich- keitsschutz nicht unvereinbar, wenn die Angestellten nur über die ausgewählte Beur- teilungsperiode informiert werden. Es muss jedenfalls dafür gesorgt werden, dass der Arbeitnehmer mit Sicherheit davon ausgehen kann, dass ein wesentlicher Teil seiner Arbeitszeit unüberwacht bleibt. Eine verhältnismässige Lösung könnte beispielsweise darin bestehen, die Dauer der Kontrollperioden auf vier von einander getrennte Mo- nate pro Jahr zu reduzieren und die betroffenen Personen über die gewählten Kontroll- perioden vorgängig zu informieren. Des Weiteren haben wir angemerkt, dass Beurteilungsdaten ein Persönlichkeitspro- fi l d arstellen und in aller Regel nur durch Vorgesetzte eingesehen werden dürfen. Im vorliegenden Fall sollten hingegen die Personaldienstangestellten die von den Testkunden gelieferten Daten im entsprechenden System erfassen. Wir haben das Transportunternehmen ersucht, speziell ausgebildete Vertrauenspersonen innerhalb des Unternehmens mit der Einsicht und Erfassung der Daten zu betrauen. Die Anzahl dieser Personen ist überdies klein zu halten. Technisch soll dafür gesorgt werden, dass die erfassten Daten unberechtigten Dritten nicht zugänglich sind. Die Testkunden sind speziell auf die Vertraulichkeit der Fragebögen aufmerksam zu machen sowie vertraglich zur sofortigen Vernichtung allfälliger Kopien nach Abgabe des Originals an das Transportunternehmen zu verpfl ichten. Auf dem Übertragungs- weg sind die Fragebögen mit geeigneten Schutzmassnahmen zu sichern. Erfolgt die Übertragung beispielsweise via Internet, so ist an eine Verschlüsselung zu denken. Jede angestellte Person des Transportunternehmens muss Auskunft über die sie be- treffenden bearbeiteten Daten verlangen können. Dieses Recht ermöglicht den Betrof- fenen, die Daten zu kontrollieren mit dem Ziel, die Einhaltung der datenschutzrecht- lichen Grundsätze wie rechtmässige Datenbeschaffung, Treu und Glauben, Richtigkeit der Daten und Verhältnismässigkeit zu überprüfen und deren Durchsetzung zu ver- langen.
68 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.6.4 Revision der Verordnung über den Schutz von Personaldaten in der Bundesverwaltung In unserer Stellungnahme zur Verordnung über den Schutz von Personal- daten in der Bundesverwaltung sind wir im Wesentlichen zum Schluss g ekommen, dass im Bundespersonalgesetz die gesetzlichen Grund- lagen für die Verordnung noch zu schaffen sind. Wir haben ebenfalls beantragt, die Regelungen betreffend Zugriffsberechtigungen restrik- tiver auszugestalten. Infolge einer Sitzung mit verschiedenen Bunde- sämtern haben wir nach der Ämterkonsultation festgestellt, dass die Revision der Verordnung zurzeit verfrüht ist. Wir wurden im Rahmen der Ämterkonsultation zur Revision der Verordnung über den Schutz von Personaldaten in der Bundesverwaltung eingeladen, Stellung zu nehmen. In unserer Stellungnahme haben wir insbesondere beantragt, im Rahmen der Revision des Bundespersonalgesetzes die erforderlichen gesetzlichen Grundlagen für die Ver- ordnung zu schaffen. Weiter haben wir festgehalten, dass die in der Verordnung ent- haltenen, wichtigen Recht setzenden Bestimmungen auf Gesetzesstufe anzuheben sind. Zur Regelung der Zugriffsberechtigungen haben wir festgehalten, dass der Kreis von Personen und Stellen, welche Zugriff auf die Gesamtheit der Daten im Verwal- tungssystem der Personaldaten BV-PLUS erhalten sollen, zu gross ist. Folglich haben wir beantragt, die Regelungen betreffend Zugriffsberechtigungen restriktiver auszuge- stalten. Wir haben ebenfalls gefordert, in der Verordnung zu regeln, zu welchem Zweck die berechtigten Personen ein Zugriffsrecht auf die Gesamtheit der Daten in BV-PLUS erhalten sollen. I nfolge einer Sitzung mit dem federführenden Eidgenössischen Personalamt (EPA), dem Bundesamt für Justiz, der Bundeskanzlei sowie anderen Datenschutzberatern der Bundesverwaltung sind wir nach der Ämterkonsultation zum Schluss gekommen, dass eine Revision der Verordnung verfrüht ist. Das Konzept zur Automatisierung der Bearbeitung der Personaldossiers befi ndet sich nämlich noch in einer frühen Phase. Es gilt also zu verhindern, dass mit einer provisorischen Verordnung vollendete Tatsa- chen geschaffen werden, über deren Notwendigkeit man sich noch nicht eingehend auseinandergesetzt hat. Dasselbe gilt in Zusammenhang mit der Einführung der Beur- teilungen und Zielvereinbarungen im BV-PLUS. Wir haben noch festgehalten, dass die einzige zurzeit notwendige Revision der Verordnung die Regelung der Nebenbeschäf- tigungen betrifft. Diese Gesetzeslücke kann aber vorläufi g toleriert werden, sofern die Revisionsarbeiten an das Bundespersonalgesetz demnächst aufgenommen werden. Das EPA hat folglich die Revision der Verordnung suspendiert, bis die entsprechenden Grundlagen im Bundespersonalgesetz geschaffen werden.
69 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.6.5 Verordnung zum Bundesgesetz über Massnahmen zur Bekämpfung der Schwarzarbeit Wir haben im Rahmen der Ämterkonsultation zur Schaffung einer Voll- zugsverordnung zum Bundesgesetz über Massnahmen zur Bekämpfung der Schwarzarbeit Stellung genommen. Dabei haben wir den Bestimmt- heitsgrad der datenschutzrechtlich relevanten Normen, vor allem jene über den Informationsaustausch unter Behörden und über ihre Zugriffs- rechte, als ungenügend beanstandet. Daten im Bereich der Schwarzarbeit sind besonders schützenswert. Deshalb ist für die Normen der Bearbeitung dieser Daten ein hoher Bestimmtheitsgrad erforderlich, der aus unserer Sicht bei der Vollzugsverordnung zum Bundesgesetz über Massnah- men zur Bekämpfung der Schwarzarbeit nicht gegeben ist. So haben wir im Rahmen der Ämterkonsultation zu dieser Verordnung kritisiert, dass die Normen zu allgemein formuliert seien; die Bearbeitung besonders schützenswerter Daten verlange jedoch nach einer Rechtsgrundlage mit hohem Bestimmtheitsgrad. Wir haben diesbezüglich ausgeführt, dass von einer gesetzlichen Grundlage im materiellen Sinne Konkretes in Bezug auf bearbeitete Personendaten, Zugriffsrechte und deren Umfang sowie Be- kanntgaben erwartet wird. Speziell haben wir kritisiert, dass insbesondere die gegenseitige Information der be- teil igten Behörden im Verordnungstext nicht konkret umschrieben wird. Die vorge- schlagene Formulierung überlässt es dem Gutdünken der beteiligten Behörden zu entscheiden, wer wem wann welche Daten zu welchem Zweck bekannt gibt. Wir ha- ben das federführende Staatssekretariat für Wirtschaft (SECO) aufgefordert, den Infor- mationsaustausch unter Behörden im Verordnungstext fassbar zu regeln Auch die Regelung des Zugriffsrechts der beteiligten Behörden haben wir beanstan- det. Nach dem Wortlaut der Verordnung kann jede beteiligte Behörde aufgrund eines umfangreichen Zugriffsrechts auf die Datenbearbeitungen der anderen Behörden di- rekt Einfl uss nehmen. Die Verantwortung für ein und dieselbe Datenbearbeitung tra- gen somit mehrere Behörden im gleichen Umfang. Demzufolge haben wir verlangt, dass in der Verordnung klar angegeben werde, welche Behörde in welchem Umfang Zugriff auf welche Daten hat. Gegebenenfalls sei eine Zugriffsmatrix vorzusehen. Anlässlich einer Sitzung hat das SECO in der Folge unsere Einwände akzeptiert und sich engagiert, die Verordnung im Sinne unserer Einwände zu überarbeiten. Wir muss- ten aber nachträglich feststellen, dass der neue Verordnungsentwurf unsere dama- ligen Einwände nur teilweise berücksichtigte und dass wir nicht auf der Adressatenli- ste der zweiten Ämterkonsultation standen.
70 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.7 Handel und Wirtschaft 1.7.1 Auskunfts- und Berichtigungsrecht im Bereich Wirtschafts- und Kreditauskunft Wie im letzten Tätigkeitsbericht erwähnt, haben wir im Jahr 2005 bei vie r Unternehmen des Sektors Kredit- und Wirtschaftsauskunft ge- prüft, wie diese den betroffenen Personen ihre Rechte gemäss Daten- schutzgesetz gewähren. Dabei sind wir zu insgesamt positiven Beurtei- lungen gekommen, was indes nicht bedeutet, dass für die betroffenen Personen keine Probleme existieren. Wir haben geprüft, wie die einzelnen Kredit- und Wirtschaftsauskunfteien den betrof- fenen Personen gegenüber auf Auskunfts-, Berichtigungs- und Löschungsbegehren reagieren. Als Informationsquellen haben dabei nebst der angeforderten Dokumen- tation ein Augenschein sowie Gespräche und Schriftenwechsel gedient. Gemäss den von u ns festgestellten Sachverhalten ist in formeller Hinsicht davon auszugehen, dass sowohl betreffend die Identitätsprüfung als auch betreffend Fristen und Kosten die rechtlichen Vorgaben eingehalten werden. Das bedeutet, dass die untersuchten Unternehmen vor Erteilung einer Auskunft nach Datenschutzgesetz die Identität der antragstellenden Person prüfen und dass sie die Auskünfte abgesehen von den ge- setzlich vorgesehenen Ausnahmefällen kostenlos und innert maximal 30 Tagen er- teilen. Auch materiell werden die Vorgaben des Datenschutzes eingehalten, da die gewährten Auskünfte nach unseren Beobachtungen vollständig und verständlich sind. Betreffend die Behandlung von Löschungs- und Berichtigungsbegehren haben wir ebenfalls keine Feststellungen gemacht, welche darauf hindeuten würden, dass rechtliche Vorgaben nicht eingehalten werden. Trotz dieser positiven Beurteilung der festgestellten Sachverhalte gelangen aber immer wieder Betroffene an uns aufgrund von Schwierigkeiten, die sie mit Unternehmen aus dem Sektor haben. Über mögliche Ursachen dafür können wir nur Vermutungen anstellen. Wir gehen davon aus, dass die bei uns eintreffenden Anfragen in zwei Gruppen unterteilt werden können: Erstens gehören dazu all diejenigen Fälle, in welchen Probleme beim Matching vorgekommen sind. Mit anderen Worten geht es hier um die Fälle der Verwechslung von zwei Per- sonen, z.B. Personen mit beinahe identischen Namen, welche an derselben Strasse wohnen. Und zweitens kommt es im Falle von Löschungs- und Berichtigungsbegehren vor, dass der dem Eintrag zugrunde liegende Sachverhalt nicht eindeutig geklärt ist. In diesen Fällen gibt es einen offensichtlichen Gegensatz zwischen den Interessen der Kreditauskunftfi rmen bzw. ihrer Kundinnen und Kunden einerseits und denjenigen der Betroffenen andererseits.
71 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.8. Finanzen 1.8.1 Datenschutz im internationalen Zahlungsverkehr (SWIFT) Der überwiegende Teil des internationalen Zahlungsverkehrs wird über die in Belgien ansässige Society for Worldwide Interbank Financial Tele- communication (SWIFT) abgewickelt. Entsprechend brisant war die im Juni 2006 in den Medien verbreitete Meldung, wonach die US-Admini- stration im Rahmen ihrer Anstrengungen zur Terrorbekämpfung Zugriff auf die Transaktionsdaten der SWIFT hat. Wir haben nach Kenntnisnah- me dieses Vorgangs bei den wichtigsten Akteuren des schweizerischen Bankensektors Informationen eingeholt und auf verschiedenen Ebenen zur Bewältigung der SWIFT-Affäre beigetragen. Die in Belgien domizilierte SWIFT ist bei der Abwicklung des internationalen Zahlungs- verkehrs die weltweit wichtigste Akteurin. Sie verfügt über zwei Archive, welche sämt- liche Transaktionsdaten je während 124 Tagen aufbewahren. Die amerikanische Pres- se konnte aufdecken, dass die US-Administration über das in den USA gelegene Archiv der SWIFT – und in Kooperation mit dieser – auf Transaktionsdaten Zugriff nahm; über den genauen Umfang des Zugriffs bestehen bis heute keine gesicherten Kenntnisse. Der Datenschutz ist bei der juristischen Aufarbeitung der so genannten SWIFT-Affä- re unzweifelhaft einer der zentralen Aspekte. Deshalb haben Datenschutzbehörden zahlreicher Länder Abklärungen vorgenommen. Da die SWIFT in Belgien domiziliert ist, kam der Untersuchung der dort zuständigen Commission de la protection de la vie privée herausragende Bedeutung zu. Sie stellte in ihrem Bericht verschiedene Verstös- se gegen belgisches und europäisches Datenschutzrecht durch die SWIFT fest. Auf der Grundlage des belgischen Berichts und eigener Nachforschungen haben wir festgestellt, dass die SWIFT in der Schweiz keine Personendaten bearbeitet. Zu beant- worten blieb die Frage nach der datenschutzrechtlichen Verantwortung der hierzulan- de ansässigen Finanzdienstleister. Den zu dieser Frage verfassten Bericht des EDÖB fi nden Sie in Anhang 4.1. Z usammenfassend ist auf zwei problematische Punkte hinzuweisen: Einerseits in- formierten die Finanzdienstleister auch nach Kenntnisnahme der SWIFT-Affäre ihre Kunden nicht über die Zugriffsrisiken beim Vorgang der internationalen Zahlung (man- gelhafte Transparenz der Datenbearbeitung); andererseits besteht durch die Einsicht- nahme in Transaktionsdaten durch die US-Administration das Problem eines Daten- transfers in ein Land ohne gleichwertigen Datenschutz.
72 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Die Aufarbeitung der Datenschutzprobleme rund um die SWIFT geschah in Zusam- menarbeit mit zahlreichen ausländischen Datenschutzbehörden, namentlich mit der Artikel 29 Datenschutzgruppe; wir werden uns (auch) in diesem Rahmen weiterhin für eine datenschutzkonforme Lösung einsetzen. Schliesslich haben wir in dieser Ange- legenheit auch der Geschäftsprüfungskommission des Nationalrates (Subkommission EFD/EVD) rapportiert, die sich der Bewältigung des Problems angenommen hat. Aus Sicht des schweizerischen Datenschutzes besteht in der SWIFT-Affäre weiterhin Handlungsbedarf: Dabei gilt es, auf dem Weg politischer Aushandlung eine Lösung zu erarbeiten, die dem Anliegen der Terrorbekämpfung gerecht wird, aber auch die Datenschutzordnungen sämtlicher Länder respektiert, also auch das schweizerische Datenschutzgesetz. Soweit es in ihrer Handlungsmacht liegt, stehen ausserdem vor- gängig die schweizerischen Finanzdienstleister in der Pfl icht; sie haben namentlich die Transparenz über die Zugriffsrisiken beim Vorgang internationaler Zahlungen zu gewährleisten.
73 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.9 International 1.9.1 Internationale Konferenz der Datenschutzbeauftragten Die 28. Konferenz der Datenschutzbeauftragten fand am 2. und 3. No- vember 2006 in London statt. Als Hauptthema standen die Gefahren der Überwachungsgesellschaft im Mittelpunkt der Beratungen. Die Daten- schutzbeauftragten stellten fest, dass die Überwachungsgesellschaft bereits Realität ist, und betonten die Bedeutung des Rechts auf Daten- schutz in diesem Kontext. Es handelt sich dabei um ein für die Wahrneh- mung der übrigen Rechte und Grundfreiheiten in einer demokratischen Gesellschaft notwendiges Grundrecht. Ausserdem verabschiedeten die Datenschutzbeauftragten eine Entschliessung zum Datenschutz bei Suchmaschinen. Sie unterstützten einstimmig eine Initiative der CNIL (der französischen Datenschutzkommission) für eine bessere und ef- fektiver gestaltete Vermittlung des Datenschutzes. Auf Einladung des britischen Datenschutz- und Informationsbeauftragten kamen 58 Datenschutzbehörden aus der ganzen Welt und Vertreter der internationalen Orga- nisationen, der Wirtschaft und der Wissenschaft in London zusammen, um anlässlich der 28. Internationalen Konferenz der Datenschutzbeauftragten über die Überwa- chungsgesellschaft zu debattieren. Die Schweiz war durch den Eidgenössischen Da- tenschutz- und Öffentlichkeitsbeauftragten sowie durch die Datenschutzbeauftragten der Kantone Basel-Land, Zug und Zürich vertreten. Der zentrale Teil der Konferenz war den Auswirkungen der Überwachungsgesellschaft gewidmet. Der britische Datenschutz- und Informationsbeauftragte hatte eine umfas- sende Studie zum Phänomen der Überwachungsgesellschaft in Auftrag gegeben, um eine öffentliche Debatte über die beunruhigenden Entwicklungen, mit denen sich die demokratischen Gesellschaften heute auseinandersetzen müssen, in Gang zu bringen (die Studie ist auf der Website der Konferenz abrufbar: www.privacyconference2006. co.uk). Die Überwachungsgesellschaft ist Realität geworden, und wenn ihr nicht klare Grenzen gesetzt werden, sind Auswüchse unvermeidlich. Die im Rahmen der Überwachungsgesellschaft vorgenommenen Datenbearbeitungen haben einen wachsenden Einfl uss im Leben des Einzelnen, auf unsere Verhaltenswei- sen und unseren Lebensstil. Sie lassen Risiken für den Datenschutz und die Achtung der grundlegenden Rechte und Freiheiten und namentlich der Privatsphäre entste- hen. Gewisse Überwachungstätigkeiten sind indessen notwendig, zum Beispiel zur Bekämpfung von Terrorismus und Schwerkriminalität oder zur Verbesserung des
74 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Gesundheitswesens. Sie können für den Einzelnen und für die Gesellschaft positive Auswirkungen haben. Es ist allerdings zu prüfen, was vom Standpunkt eines demo- kratischen, den Rechten und Grundfreiheiten verschriebenen Staates aus tragbar ist, und der Überwachung sind Grenzen zu setzen. Die unkontrollierte Überwachung wirkt sich nicht nur unter dem Gesichtspunkt des Rechtes auf Datenschutz und Schutz der Privatsphäre negativ aus, sie kann auch andere Werte eines Rechtsstaates in Gefahr bringen. Eine übermässige Überwachung kann namentlich dazu beitragen, ein Miss- trauensklima zu schaffen und zu schüren, das Vertrauen der Bürgerinnen und Bürger i n die bestehenden Institutionen untergraben und sich im Wesen der Gesellschaft selbst niederschlagen. Überdies ist ein wachsendes Risiko der Diskriminierung und der sozialen Ausgrenzung vorhanden. Ohne die Notwendigkeit gewisser Massnahmen bestreiten zu wollen, betonten die Datenschutzbeauftragten daher die besondere Bedeutung des Rechts auf Datenschutz und Schutz der Privatsphäre als Menschen- recht. Die Vorschriften für diesen Schutz ermöglichen die Durchsetzung legitimer Ein- schränkungen der Überwachung. Solche Regeln sind jedoch unzulänglich, wenn sie nicht mit Massnahmen einhergehen, die Gewähr für die Einhaltung der Datenschutz- grundsätze und insbesondere des Transparenzprinzips bieten können. Auch müssten die Einwirkungen der geplanten oder eingeführten Überwachungstechniken auf die Privatsphäre systematisch ausgewertet werden. Die Vorschriften müssen zudem da- nach beurteilt werden, ob sie eine angemessene Antwort auf die konkrete Herausfor- derung darstellen. Die Überwachungsgesellschaft muss Gegenstand weit reichender Debatten in der Öffentlichkeit sein. Sämtliche betroffenen Akteure müssen bei der Eindämmung der negativen Folgen dieser sicherheitsorientierten Entwicklung zusam- menarbeiten. Sie müssen sich darum bemühen, das Vertrauen der Öffentlichkeit zu gewinnen und zu verstärken. Die Bürger müssen überzeugt sein, dass jeder Eingriff in ihre Privatsphäre jeweils notwendig und verhältnismässig ist. Missbräuche müssen aufgedeckt und Sanktionen (namentlich strafrechtlicher Art) verhängt werden können, wenn eine Verletzung der Privatsphäre vorliegt. In diesem Kontext haben die Daten- schutzbehörden eine wesentliche Rolle zu spielen, um Exzesse in der Überwachung unter Kontrolle zu bringen und abzuwenden. Die Datenschutzbeauftragten unter- stützten daher eine Initiative der französischen nationalen Kommission für Informatik und Freiheitsrechte (Commission nationale de l’informatique et des libertés, CNIL), die darauf abzielt, die grundlegende Bedeutung des Datenschutzes und des Schutzes der Privatsphäre in einer in ständigem Wandel befi ndlichen Welt zu bekräftigen. Die Erklä- rung „Datenschutz vermitteln und effektiver gestalten“ (s. Anhang 4.4) ist ein Manifest für eine bessere Effektivität des Datenschutzes. Angesichts der mit den kollektiven Sicherheitsanforderungen und den technologischen Entwicklungen (Biometrie, Geolo- kalisierung, Videoüberwachung, Internet, RFID, usw.) verbundenen Risiken müssen die
75 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Datenschutzbehörden, wie A. Türk, der Vorsitzende der CNIL betonte, „ein gesteigertes kollektives Bewusstsein wecken und gemeinsam koordinierte Initiativen ergreifen, die hauptsächlich auf einer neuen Kommunikationsstrategie, einer Erweiterung der Fach- kapazitäten, einer Beurteilung und Verstärkung ihrer Handlungsmittel, und auf der Unterstützung von Arbeiten beruhen, die zur Anerkennung eines universellen Rechts auf Datenschutz führen. Das Kapital unserer Identität und unseres Privatlebens ist tagtäglich bedroht. Es muss dringend erhalten werden. Wie das Umweltkapital der Menschheit ist es in Gefahr, so schweren Schaden zu nehmen, dass es nicht mehr erneuert werden kann.“ Der Bewusstseinsbildung in der Öffentlichkeit wird besondere Aufmerksamkeit zuzuwenden sein. Die Datenschutzbeauftragten verabschiedeten ausserdem zwei Entschliessungen. Die eine betrifft die Achtung der Privatsphäre bei Suchmaschinen (s. Anhang 4.6). Sie for- dert insbesondere die Anbieter von Suchmaschinen auf, die Datenschutzerfordernisse einzuhalten und namentlich die Benutzer transparent über die bei der Beanspruchung ihrer Dienstleistungen vorgenommenen Datenbearbeitungen zu informieren und die Zahl der erfassten Personendaten zu beschränken (Grundsatz der Datenminimierung). Die zweite Entschliessung betrifft die praktischen Organisationsmodalitäten der Kon- ferenz (s. Anhang 4.5). Die Datenschutzbeauftragen genehmigten auch die Akkreditie- rung der Datenschutzbehörden von Andorra, Liechtenstein, Estland, der kanadischen Provinzen New Brunswick, Northwest Territories und Nunavut, sowie von Gibraltar. Schliesslich zogen sie eine erste positive Bilanz der Folgemassnahmen zur Erklärung von Montreux (vgl. unseren 13. Tätigkeitsbericht 2005/2006, Ziffer 9.2.1 und Anhang 11.2). Im Besonderen fand die Aufforderung der Datenschutzbeauftragten zur Aus- arbeitung einer Rechtsurkunde ein positives Echo, namentlich bei der Völkerrechts- kommission der UNO, die dieses Thema in ihr Arbeitsprogramm aufgenommen hat. Ebenso verpfl ichtete sich das Generalsekretariat des Europarates, die Massnahmen für den Beitritt von Nichtmitgliedstaaten des Europarates zum Übereinkommen 108 zu unterstützen. Schliesslich geht die Notwendigkeit einer Verstärkung der Univer- salität des Rechts auf Datenschutz auch aus den Dokumenten des Weltgipfels zur Informationsgesellschaft in Tunis (16.-18. November 2005, http://www.itu.int/wsis/do- cuments/doc_multi.asp?lang=fr&id=2331I2304) und aus der Erklärung des Gipfeltref- fens der Staats- und Regierungschefs der französischsprachigen Länder in Bukarest (28.-29 September 2006, http://www.francophonie.org/doc/txt-reference/decl-buca- rest-2006.pdf) hervor.
76 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.9.2 Europäische Konferenz der Datenschutzbeauftragten Die europäische Konferenz der Datenschutzbeauftragten fand vom 24. bis 25. April 2006 in Budapest statt. Die europäischen Datenschutzbe- auftragten verabschiedeten einstimmig eine Erklärung betreffend die Einführ ung des Grundsatzes der Datenverfügbarkeit im Rahmen der Verstärkung der Zusammenarbeit von Polizei- und Justizbehörden in- nerhalb der Europäischen Union. Auf Einladung des Datenschutz- und Informationsbeauftragten Ungarns hielten die europäischen Datenschutzbeauftragten ihre Frühjahrskonferenz vom 24. bis 25. April 2006 in Budapest ab. Die Datenschutzbeauftragten aus 34 europäischen Staaten, der europäische Datenschutzbeauftragte und die Vertreter der gemeinsamen Kontrollin- stanzen Europol und Schengen nahmen an der Konferenz teil. Die Schweiz war durch den Eidgenössischen Datenschutzbeauftragten und die Datenschutzbeauftragten der Kantone Basel-Land, Zug und Zürich vertreten. In seiner Begrüssungsbotschaft erinnerte der Präsident der Republik Ungarn, Lász- ló Sólyom, an die Bedeutung des Rechts auf Datenschutz in der heutigen Welt und hob insbesondere hervor, dass der Kampf gegen den Terrorismus nicht zu Lasten des informationellen Selbstbestimmungsrecht gehen dürfe. Die Konferenz bot den Daten- schutzbeauftragten die Möglichkeit zu einer Bestandesaufnahme zu verschiedenen aktuellen Themen, darunter namentlich die Bearbeitung von Personendaten auf dem Gebiet der polizeilichen und justiziellen Zusammenarbeit, die Herausforderungen der neuen invasiven Technologien, die „Whistleblowing“-Warnsysteme in den Unterneh- men, die Entwicklung der elektronischen Patientenakte, die Bearbeitung genetischer Daten, die wissenschaftliche Geschichtsforschung. Die Datenschutzbeauftragten beschäftigten sich auch mit der Effektivität ihrer Tä- tigkeit. Ausgehend von der Feststellung, dass derzeit die meisten nationalen Daten- schutzbehörden nicht über ausreichende Mittel für die Erfüllung ihrer Aufgaben ver- fügen, waren sich die europäischen Datenschutzbeauftragten darin einig, dass Priori- täten gesetzt und vorzugsweise Absprachen und eine Zusammenarbeit mit anderen Akteuren der Zivilgesellschaft (Verbraucherschutzorganisationen, Bürgerrechtsorgani- sationen usw.) angestrebt werden sollten. Sie betonten auch, wie wichtig es sei, ihre Massnahmen und die damit verfolgten Ziele sichtbar zu machen. Ebenfalls wichtig ist es, die Erfüllung ihrer Aufgaben einer Evaluation zu unterziehen. Die Behörden sind nicht in der Lage, sämtliche an sie gerichtete Gesuche zu behandeln und auf jede eingereichte Beschwerde hin einzuschreiten. Es ist wünschenswert, Kriterien für ein
77 14. Tätigkeitsbericht 2006/ 2007 des EDÖB behördliches Eingreifen festzulegen und vorrangig die Fälle zu behandeln, in denen sich die Betroffenen gegenüber dem Verantwortlichen der Datenbearbeitung in einer Position der Schwäche befi nden, in denen die Bearbeitung von Personendaten erheb- liche Folgen haben kann und in denen das informationelle Selbstbestimmungsrecht in ungerechtfertigter Weise eingeschränkt werden könnte. Um zu entscheiden, ob ihr Eingreifen angebracht ist, richtet sich die britische Datenschutzbehörde namentlich nach folgenden Kriterien: erhebliches Risiko für den Einzelnen, Zahl der betroffenen Personen, notwendige Klärung der Gesetzesbestimmungen oder der Datenschutz- grundsätze, Gefahr einer Wiederholung oder Fortdauer der Beeinträchtigung, Not- wendigkeit, ein „Exempel“ zu statuieren, Verhältnis zwischen den Kosten einer geset- zeskonformen Anpassung für die beteiligte Organisation und der erwarteten Wirkung, absichtliche Rechtsverletzung. Die Konferenz akkreditierte drei neue Staaten: die ehemalige jugoslawische Republik Mazedonien, Rumänien und Slowenien. Andorra wurde der Beobachterstatus zuer- kannt. Die Datenschutzbeauftragten verabschiedeten schliesslich einstimmig eine Erklärung zur Zusammenarbeit zwischen Polizei- und Justizbehörden, insbesondere zum Entwurf eines Rahmenbeschlusses der Europäischen Union betreffend das Ver- fügbarkeitsprinzip. Die Konferenz erinnerte insbesondere daran, dass der Austausch von personenbezogenen Informationen zwischen den Strafverfolgungsbehörden nur unter Einhaltung der Datenschutzvorschriften erfolgen darf. Nach Auffassung der eu- ropäischen Datenschutzbeauftragten ist es unerlässlich, den gesamten Bereich der polizeilichen und justiziellen Zusammenarbeit durch harmonisierte Vorschriften zu re- geln, welche ein hohes Datenschutzniveau gewährleisten. Am Rande der 28. Internati- onalen Konferenz der Datenschutzbeauftragten (s. Ziffer 1.9.1) verabschiedete die eu- ropäische Konferenz eine zweite Erklärung zum Entwurf für einen Rahmenbeschluss der Europäischen Union über den Datenschutz im Bereich der polizeilichen und justi- ziellen Zusammenarbeit (vgl. unseren 13. Tätigkeitsbericht 2005/2006, Ziffer 9.1.2). In dieser Erklärung erinnern die Datenschutzbeauftragten daran, dass die Einführung des Verfügbarkeitsprinzips mit der Annahme eines angemessenen Datenschutzrahmens für sämtliche Bearbeitungen zum Zwecke der polizeilichen und justiziellen Zusam- menarbeit verbunden sein muss. Dieser Rahmen hat ein hohes Datenschutzniveau zu gewährleisten, das im Einklang mit den Bestimmungen der europäischen Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht. Es darf insbesondere keine unterschied- liche Behandlung zwischen den Daten aus innerstaatlicher Verarbeitung und den von einer ausländischen Behörde stammenden Daten geben.
78 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.9.3 Case Handling Workshop Die von der Europäischen Konferenz der Datenschutzbeauftragten ein- gerichtete Arbeitsgruppe „Case Handling Workshop“ hat die Aufgabe, Mittel und Wege für eine Zusammenarbeit und gemeinsame Tätigkeiten der Datenschutz-Kontrollbehörden zu prüfen und auszugestalten. Bei ihren letzten Sitzungen beschäftigte sich die Arbeitsgruppe mit den Methoden, welche verschiedene nationale Behörden für die Behand- lung von jeweils ähnlichen Fällen anwenden. Aufgrund des Auftrags, den die Europäische Konferenz der Datenschutzbeauftragten ihm erteilt hatte, widmete der Case Handling Workshop seine beiden Tagungen im Jahre 2006 in Madrid und Athen der Umsetzung der im Vorjahr beschlossenen Neuo- rientierung. Anlässlich ihrer ersten Tagungen hatte sich nämlich die Arbeitsgruppe – die damals noch die Bezeichnung „Complaints Handling Workshop“ trug – auf die Kontrollme- thoden konzentriert, die die Datenschutzbehörden gemäss ihren jeweiligen gesetz- lichen Kompetenzen verwenden. Dieser Informationsaustausch über die in den ver- schiedenen Staaten durchgeführten Kontrollen vermittelte eine bessere Kenntnis der Rollen, der Sanktionsbefugnisse, der Instrumente und der Kompetenzen der anderen nationalen Kontrollbehörden. Bei seinen Tätigkeiten stellte sich dem Workshop jedoch ein zweifaches Problem: die wachsende Zahl der Teilnehmenden einerseits und die schwierige Konkretisierung des Informationsaustausches andererseits. Mit seinen annähernd sechzig Teilnehmenden un terzog der Workshop seine Arbeitsweise einer eingehenden Prüfung. Ohne auf ihren informellen Rahmen zu verzichten, der den Erfahrungsaustausch erleichtern sollte, beschloss die Arbeitsgruppe, die verschiedenen Beiträge der Teilnehmenden effi zienter zu organisieren, die Wahl der Tagungsthemen besser zu koordinieren (na- mentlich mit den laufenden Arbeiten der Gruppe Artikel 29 der Europäischen Union) und ihre Arbeiten auf konkrete Fälle zu konzentrieren. In diesem Sinne wurde die Gruppe in „Case Handling Workshop“ umbenannt. Nachdem diese Änderungen von der Europäischen Konferenz der Datenschutzbeauf- tragten, die im Frühjahr 2005 in Krakau stattfand, genehmigt worden waren, richtete der Workshop die Arbeiten seiner beiden Tagungen im Jahre 2006 auf konkrete Fälle aus. So lag der Schwerpunkt der Tagung im März 2006 in Madrid auf der Art der Be- handlung der Datenschutzfälle im öffentlichen Sektor. Aus diesem Anlass erläuterten wir die Probleme, auf die wir in den verschiedenen Etappen unserer Kontrolle beim
79 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Bundesamt für Polizei gestossen waren, als es darum ging, die nachträgliche Informa- tion der betroffenen Personen zu prüfen (vgl. unseren 12. Tätigkeitsbericht 2004/2005, Ziffer 3.1.1 und 13. Tätigkeitsbericht 2005/2006, Ziffer 3.1.4). Anhand der Vorstellung dieses konkreten Falls konnten zahlreiche Ähnlichkeiten mit den von anderen ein- zelstaatlichen Behörden im öffentlichen Sektor durchgeführten Kontrollen festgestellt w erden (Schwierigkeiten bei der Feststellung des Sachverhalts und bei der Suche nach Verbesserungslösungen, Ablehnung der Empfehlungen, Nutzung der Rechtsmittel). Die Novembertagung 2006 in Athen wiederum war der Behandlung konkreter Fälle in Sachen E-Government einerseits und der Videoüberwachung andererseits gewid- met. Letzteres Thema bot die Gelegenheit zu einem ergiebigen Informationsaustausch über die zahlreichen Probleme (Rechtsgrundlagen, Verhältnismässigkeit, Datenzugriff, Rolle der verschiedenen Akteure, Wiederverwendung der Daten, Löschung der Da- ten, usw.), welche bei der Einrichtung von Videoüberwachungskameras im Rahmen von sportlichen Grossveranstaltungen wie den Olympischen Sommerspielen 2004 in Athen oder der in der Schweiz und in Österreich im Jahre 2008 stattfi ndenden Fuss- ball-Europameisterschaft (EURO 2008) auftreten. Der Workshop, dessen nächste Tagung im Jahre 2007 in Helsinki geplant ist, wird sei- ne Tätigkeiten fortführen mit dem Ziel, die Zusammenarbeit zwischen den nationalen Kontrollbehörden zu verbessern. Zu diesem Zweck wird er einen Vergleich der Me- thoden für den Umgang mit jeweils ähnlichen Fällen und der dabei angewendeten Lösungen vornehmen, sei es im Rahmen von Beschwerden, Inspektionen, Analysen oder Kontrollen, die von Amtes wegen durchgeführt werden.
80 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 1.9.4 Internationale Arbeitsgruppe Datenschutz im Telekommunikationsbereich Anlässlich der 40. Sitzung der Internationalen Arbeitsgruppe Daten- schutz im Telekommunikationsbereich in Berlin wurden unter anderem die Themen Trusted Computing und digitale Rechteverwaltung sowie Internet-Telefonie (VoIP) diskutiert I m September 2006 hat die Internationale Arbeitsgruppe Datenschutz im Telekom- munikationsbereich (International Working Group on Data Protection in Telecommuni- cations) in Berlin ihre 40. Sitzung durchgeführt, an der wir teilgenommen haben. Die Gruppe hat sich unter anderen mit folgenden Themen beschäftigt: Trusted Computing (TC) /Technologien der digitalen Rechteverwaltung (DRM): In einem Arbeitspapier (http://www.datenschutzberlin.de/doc/int/iwgdpt/WP_Trusted_Compu- ting_en.pdf) empfi ehlt die Gruppe, dass Regierungen die Datenschutzrisiken, die bei der Implementierung solcher Technologien entstehen können, beachtet. Die Regie- rungen sollen Regelungen gegen die Beeinträchtigung der Privatsphäre durch TC/DRM erlassen. Überdies richtet die Gruppe Empfehlungen an die Softwareentwickler und Anbieter von TC/DRM-Produkten, die in ihrem Einfl ussbereich liegenden Datenschutz- massnahmen zu ergreifen. Ein weiteres Papier wurde zum Thema Internet-Telefonie (VoIP) verabschiedet und publiziert (http://www.datenschutz-berlin.de/doc/int/iwgdpt/WP_VoIP_en.pdf): Die Nutzung von VoIP hat in letzter Zeit enorm zugenommen. Damit die Sicherheit und die Privatsphäre nicht auf der Strecke bleiben, sind Regulierungen zu treffen, die garan- tieren, dass bei der Internet-Telefonie mindestens die Datenschutz und -sicherheits- anforderungen implementiert werden, wie sie bei der herkömmlichen Festnetz- und Mobiltelefonie gelten. Unter anderem haben die VoIP-Anbieter bzw. -Hersteller ihre Kundinnen und Kunden auf die Risiken und deren Behebung hinzuweisen, interopera- ble end-to-end Verschlüsselung anzubieten und nur diejenigen Daten zu bearbeiten, die für die Erbringung des Dienstes oder für gesetzliche Anforderungen notwendig sind. Alle publizierten Papiere der Gruppe sind auf der Website www.iwgdpt.org abrufbar.
81 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 2 Öffentlichkeitsprinzip 2.1 Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung In der Bundesverwaltung wurde auf den 1. Juli 2006 das Öffentlichkeits- p rinzip eingeführt. Es schafft ein einklagbares Recht auf Zugang zu amtlichen Dokumenten. Und es überträgt dem Eidgenössischen Daten- schutzbeauftragten neuen Aufgaben: Er wird Beratungs- und Schlich- tungsorgan fürs Öffentlichkeitsprinzip und heisst neu Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB). Das Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung, kurz Öffentlich- keitsgesetz (BGÖ) genannt, ist auf den 1. Juli 2006 in Kraft getreten. Damit wird der Wandel vom Geheimhaltungs- zum Öffentlichkeitsgrundsatz vollzogen. Neu können amtliche Dokumente, die seit Inkrafttreten des Gesetzes angefertigt worden sind, auf Gesuch eingesehen werden – vor Ort oder als Kopien. Ein besonderes Interesse muss dabei nicht geltend gemacht werden, ein formloses Gesuch an die zuständige Behör- de genügt. Wird der Zugang abgelehnt, kann der Gesuchsteller beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten den Antrag auf ein Schlichtungsverfah- ren stellen. In seiner Funktion als Schlichtungsstelle strebt der Beauftragte in einem mündlichen oder schriftlichen Verfahren eine rasche Einigung zwischen der betrof- fenen Behörde und dem Gesuchstellenden an. Kommt es zu keiner Schlichtung, kann d er Beauftragte eine Empfehlung abgeben, und dem Gesuchstellenden steht der Rechtsweg offen. Neben dieser Funktion als Schlichtungsorgan hat der Beauftragte auch Beratungs- aufgaben: Er wirkt als Kompetenzzentrum für Behörden und Private für alle Fragen in Zusammenhang mit dem Öffentlichkeitsprinzip und dem Zugang zu amtlichen Doku- menten. Gemäss Öffentlichkeitsgesetz muss der Beauftragte den Vollzug und die Wirksamkeit dieses Gesetzes sowie insbesondere die durch seine Umsetzung verursachten Kosten überprüfen und dem Bundesrat 3 Jahre nach Inkrafttreten (d.h. auf den 1. Juli 2009) Bericht erstatten. In den ersten 7 Monaten seit Inkrafttreten des Öffentlichkeitsge- setzes sind bei uns 6 Schlichtungsanträge eingegangen. Im Folgenden werden die 3 abgeschlossenen Schlichtungsverfahren kurz erläutert.
82 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 2.2 Schlichtungsverfahren im Rahmen des Öffentlichkeitsprizips 2.2.1 Empfehlung an das Bundestrafgericht: „Bericht zu den Vorwürfen betreffend die geringe Anzahl der von der Bundesanwaltschaft erhobenen Anklagen“ Das Öffentlichkeitsgesetz gewährt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten im Schlichtungsverfahren umfassende Einsichts- und Auskunftsrechte. Das Bundesstrafgericht weigerte sich indessen, uns Einsicht in einen Bericht zu gewähren. Wir mussten die Frage, ob der Bericht unters Öffentlichkeitsgesetz fällt und damit zu- gänglich ist, offen lassen. Eine Person beantragte Zugang zu dem vom Bundesstrafgericht erstellten „Bericht zu den Vorwürfen betreffend die geringe Anzahl der von der Bundesanwaltschaft er- hobenen Anklagen“. Auf ein mündliches Zugangsgesuch wurde ihr geantwortet, dass keine weiteren Angaben gemacht würden, die über die Pressemitteilung zu dieser Sache hinausgingen. Auf ein weiteres, nun schriftliches Gesuch hin wurde ihr mitge- teilt, dass sie zu gegebener Zeit eine Antwort erhalten werde. Nachdem das Bundes- strafgericht die im Öffentlichkeitsgesetz vorgesehene Frist von 20 Tagen zur Stellung- nahme ungenutzt hatte verstreichen lassen, reichte die Antragstellerin bei uns einen Schlichtungsantrag ein. Wir forderten das Bundesstrafgericht auf, uns den besagten Bericht zur Beurteilung der Angelegenheit auszuhändigen. Das Gericht weigerte sich, dies zu tun, und teilte uns u.a. mit, dass der Bericht keinen administrativen Charakter aufweise und daher nicht in den Anwendungsbereich des Öffentlichkeitsgesetzes falle. Somit seien wir in dieser Sache nicht zuständig. Zur Frage der Zuständigkeit führten wir in unserer Empfehlung u.a. aus, dass wir in Fällen , in denen nicht bereits von Beginn weg zweifelsfrei feststeht, dass das Öf- fentlichkeitsprinzip nicht zur Anwendung gelangt, auf jeden form- und fristgerecht eingereichten Schlichtungsantrag eintreten. Der Grund dafür liegt in der Konzeption des Öffentlichkeitsgesetzes: Es sieht vor, dass das Schlichtungsverfahren zwingend durchlaufen werden muss, bevor eine Person, welcher der Zugang verweigert wor- den ist, von der zuständigen Behörde eine Verfügung erwirken und diese in der Folge vor einer gerichtlichen Instanz anfechten kann. Träten wir in Fällen, in denen streitig
83 14. Tätigkeitsbericht 2006/ 2007 des EDÖB ist, ob das Öffentlichkeitsgesetz überhaupt zur Anwendung gelangt, nicht auf einen Schlichtungsantrag ein, so würden wir der antragstellenden Person die Ausübung der ihr nach Öffentlichkeitsgesetz zustehenden Rechte und damit letztlich auch das in der Bundesverfassung vorgesehene rechtliche Gehör (Art. 29 Abs. 2 BV) verweigern. Die Frage, ob der besagte Bericht unter das Öffentlichkeitsgesetz fällt, konnten wir nicht abschliessend beurteilen, weil sich das Bundesstrafgericht geweigert hatte, uns ein Exemplar des Berichts auszuhändigen. Dies stellt einen klaren Verstoss gegen das Öffentlichkeitsgesetz dar, denn dieses gesteht dem Beauftragten im Rahmen des Schlichtungsverfahrens umfassende Auskunfts- und Einsichtsrechte zu. „Eine Behör- de ist verpfl ichtet, dem Beauftragten alle erforderlichen Dokumente zur Verfügung zu stellen; sie kann sich dieser Verpfl ichtung nicht unter Berufung auf die Vertraulichkeit oder die geheime Natur der Informationen entziehen“ heisst es dazu in den Erläute- rungen zur Verordnung zum Bundesgesetz über das Öffentlichkeitsprinzip der Verwal- tung. Folgerichtig unterstehen der Beauftragte und sein Sekretariat dem Amtsgeheim- nis im gleichen Ausmass wie die Behörden, in deren amtliche Dokumente sie Einsicht nehmen oder die ihnen Auskunft erteilen (Art. 20 des Öffentlichkeitsgesetzes). Der Gesetzgeber hat mit dem Erlass des Öffentlichkeitsgesetzes seinen klaren Willen zum Ausdruck gebracht, dass die Bürgerin und der Bürger Zugang zu amtlichen Do- kumenten erhalten sollen. Er hat dem Beauftragten eine wichtige Funktion als eine Art Verbindungs- und Vermittlungsstelle mit entsprechenden Kompetenzen übertra- gen und ihm damit eine fundamentale Rolle im Verfahren um den Zugang zu Doku- ment en zugesprochen (BBl 2003 2029). Der Beauftragte kann diese Aufgabe nicht wahrnehmen, wenn ihm – trotz klarer Gesetzgebung betreffend seiner Einsichts- und Auskunftsrechte – keine Einsicht in besagte Dokumente gewährt wird. Verweigern die dem Öffentlichkeitsprinzip unterliegenden Bundesbehörden und Bundesgerichte dem Beauftragten sein Einsichtsrecht, so bleibt letztlich das Öffentlichkeitsgesetz toter Buchstabe. Wir empfahlen dem Bundesstrafgericht, das Zugangsgesuch zum besagten Bericht nochmals unter Berücksichtigung aller Aspekte des Öffentlichkeitsgesetzes zu prüfen. Die Empfehlung fi nden Sie in Anhang 4.7.
84 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 2.2.2 Empfehlung an das Bundesamt für Verkehr: „Jahresberichte der Seilbahnbetreiber“ Das Öffentlichkeitsgesetz fi ndet nur Anwendung auf Dokumente, die nach seinem Inkrafttreten erstellt worden sind. Der Zugang zu früher erstellten Dokumenten muss nicht gewährt werden. Eine Person beantragte beim Bundesamt für Verkehr (BAV) Zugang zu „Meldungen von Seilbahnbetreibern“, „bei denen Seilbahnanlagen durch auftauenden Permafrost in Gefahr gerieten und danach dahingehend saniert werden mussten“. Sie wünschte Zugang zu allen Dokumenten aus dem Zeitraum von 1991 bis 2006. Das BAV teilte dem Antragsteller mit, dass es keine Listen von gefährdeten Anlagen besitze und im Amt nach dem 1. Juli 2006 keine Dokumente zur „Sanierung von Seilbahnanlagen infolge auftauendem Permafrost“ erstellt worden sind. Aus diesen Gründen könne es dem Zugangsgesuch des Antragsstellers nicht nachkommen. Der Antragsteller reichte bei uns einen Schlichtungsantrag ein und führte an, dass das BAV ihm den Zugang zu den gewünschten amtlichen Dokumenten verweigert hätte. In unserer Empfehlung stellten wir fest, dass das Öffentlichkeitsgesetz nur auf amt- liche Dokumente Anwendung fi ndet, die nach seinem Inkrafttreten, d.h. nach dem
85 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 2.2.3 Empfehlung an das Eidgenössische Departement für auswärtige Angelegenheiten: „Früherkennung von Risiken im Visabereich“ Wir erachten die vom Eidgenössischen Departement für auswärtige An- gelegenheiten (EDA) erstellte Liste betreffend die Früherkennung von Risiken im Visabereich als grundsätzlich zugänglich. Das EDA folgte un- serer Empfehlung und gewährte den Zugang. Das EDA erstellte im Rahmen der Massnahmen gegen den Visamissbrauch in schwei- zerischen Auslandvertretungen unter anderem eine Liste, um Länder mit besonderen Risiken in diesem Bereich zu identifi zieren. Die Liste sollte dazu dienen, besondere Schutzmassnahmen gezielt treffen zu können. Ein Gesuch um Zugang zu dieser Li- ste lehnte das EDA mit der Begründung ab, dass „eine Veröffentlichung der Liste die Beziehung der Schweiz zu bestimmten Staaten belasten und den aussenpolitischen Spielraum der Schweiz einschränken könnte.“ Es stützte sich dabei auf eine Ausnah- mebestimmung von Art. 7 des Öffentlichkeitsgesetzes. Der Gesuchsteller reichte da- rauf einen Schlichtungsantrag bei uns ein. Beim besagten Dokument handelte es sich um eine Liste mit allen schweizerischen Auslandvertretungen, die Visa erteilen. Anhand von sieben Kriterien wurde für jede Vertretung eine Einschätzung der Risiken missbräuchlicher Erschleichung von Visa erstellt. Wir stellten fest, dass die meisten Kriterien der Liste einen Bezug zur öffent- lich bereits zugänglichen Visastatistik aufweisen respektive in Zusammenhang mit der Visaerteilung stehen. Anhand dieser Kriterien wurde eine Einstufung der einzelnen schweizerischen Vertretungen, nicht aber einzelner Staaten vorgenommen. Da weder die einzelnen Kriterien noch deren Einstufung Aussagen oder Wertungen über andere Staaten beinhalteten, erachteten wir die Verweigerung des Zugangs hinsichtlich dieser Kriterien als Verstoss gegen das Öffentlichkeitsgesetz. Lediglich ein Kriterium basierte auf Einschätzungen und Beurteilungen der aktuellen Situation in jenen Staaten, in denen sich die Auslandvertretung befi ndet. Wir vertraten die Ansicht, die Zugänglichmachung dieses Kriteriums könnte dazu führen, dass die betroffenen Länder darin ein offi zielles Werturteil der Schweiz betreffend die Situati- on in ihren Ländern sehen könnten. Damit bestand zumindest eine erhebliche Wahr- scheinlichkeit, dass die Beziehung mit einem oder mehreren Staaten negativ belastet und in der Folge beeinträchtigt werden könnte, wenn das EDA die Liste zugänglich machen würde. Das EDA hatte den Zugang in diesem Punkt zu Recht verweigert. Wir haben die Empfehlung (Anhang 4.9) erlassen, dass die Liste mit Ausnahme dieses Kriteriums zugänglich gemacht werden sollte. Das EDA folgte dieser Empfehlung.
86 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 3 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte 3.1 Neuer Internetauftritt des EDÖB Der Bundesrat hat Ende 2003 beschlossen, das Erscheinungsbild aller Bundesstellen zu vereinheitlichen mit dem Ziel, die Identität der Bun- desverwaltung zu stärken, deren Transparenz zu verbessern, das Ver- trauen in den Staat zu fördern sowie zur Glaubwürdigkeit und Sicher- heit der öffentlichen Dienstleistungen des Bundes beizutragen. Auch wir haben unser Erscheinungsbild den neuen Vorgaben angepasst. Gleichzeitig mit dem Inkrafttreten des Öffentlichkeitsgesetzes (BGÖ) am 1. Juli 2006 und der damit verbundenen Umbenennung von EDSB zu EDÖB haben wir unsere neu gestaltete Website aufgeschaltet. Sie folgt nun den Richtlinien, die die Fachstelle CD Bund im Zuge der Vereinheitlichung des Erscheinungsbildes der Bundesverwaltung ausgearbeitet hat. Selbstverständlich mussten wir uns auch eine neue Internetadres- se geben, die die neue Bezeichnung unseres Dienstes enthält und den Vorgaben des CD Bund folgt. So wurde aus www.edsb.ch neu www.edoeb.admin.ch. Alternativ dazu kann die Adresse www.derbeauftragte.ch verwendet werden. Wir haben die Gelegenheit genutzt, unser Informationsangebot im Internet auszu- bauen und zu verbessern. Gleichzeitig wollten wir uns aber nicht allzu sehr von der inhaltlichen Struktur unserer alten Website entfernen, um die Benutzerinnen und Be- nutzer nicht übermässig zu verwirren. Die formale Struktur der Website (Navigation) entspricht derjenigen der übrigen Bundesstellen, ein barrierefreier Zugang zu den In- formationen sollte weitestgehend gewährleistet sein. Eine weitere Neuerung stellt das News-Portal der Bundesverwaltung dar. Die Sei- te www.news.admin.ch bietet Zugriff auf die Medienmitteilungen und Referate der Bundeskanzlei, der Departemente und deren Dienststellen, also auch des EDÖB. Da- tenschutzinteressierte können den E-Mail-Abodienst des News-Portals nutzen, um gezielt informiert zu werden, wenn der EDÖB eine Medienmitteilung, Stellungnahme, Ankündigung oder neue Ausgabe des Newsletters datum herausgibt. Nebst der Website wurde auch unsere gesamte Geschäftskorrespondenz dem neuen Erscheinungsbild des Bundes angepasst.
87 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 3.2 Dokumente zum Öffentlichkeitsprinzip auf der Website des EDÖB Im Juli 2006 trat das Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (BGÖ) in Kraft. Das Gesetz fördert die Transparenz in der Bundesverwaltung und sieht umfassende Rechte für Privatpersonen und Firmen zur Einsicht in amtliche Dokumente vor. Im Rahmen dieses Gesetzes hat der EDÖB neue Funktionen übernommen und die Doku- mentation auf seiner Website erweitert. In seiner Botschaft zum Öffentlichkeitsgesetz umriss der Bundesrat die Funktion des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten als die „eines Kom- petenzzentrums in Sachen Zugang zu Dokumenten“. Um dieser Aufgabe gerecht zu werden und also sowohl Private als auch Bundesämter und Departemente zu beraten, hat der EDÖB eine umfassende Dokumentation zusammengestellt. Abgesehen von den rechtlichen Grundlagen wie Gesetz und Verordnung und der allgemeinen Einführung ins BGÖ (unter „Themen“) bieten wir ein Merkblatt für Ge- suchstellerinnen und Gesuchsteller ebenso wie Musterschreiben für das Zugangs- gesuch und allfällige Schlichtungsanträge. Zahlreiche FAQs beleuchten verschiedene Aspekte des Zugangs zu amtlichen Dokumenten und helfen zudem, Fragen rund um das Zugangs- oder das Schlichtungsverfahren präzis zu klären. Für die betroffenen Bundesorgane stellen wir zur Vereinfachung der Gesuchsbeantwortung die Leitfäden und Ablaufschemata des Bundesamts für Justiz zur Verfügung. Kommt es im Rahmen eines Schlichtungsverfahrens nicht zu einer Einigung, erlässt der EDÖB eine Empfehlung. Ganz im Sinne der Transparenz wird diese – anonymisiert – auf der Website veröffentlicht.
88 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 3.3 Publikationen des EDÖB - Neuerscheinungen Wir haben im vergangenen Jahr das Informationsangebot auf unserer Website weiter ausgebaut. Zum Thema Ticketing in Skigebieten haben wir einige Erläuterungen verfasst (unter Themen – Datenschutz – Son- stige Themen, vgl. auch Anhang 4.3). Unter Themen – Datenschutz – Ar- beitsbereich wird dargelegt, welche Kompetenzen der Arbeitgeber in der Handhabung von Beweismaterial hat, falls eine angestellte Person unter Verwendung von Internet oder E-Mail gegen das Strafgesetzbuch verstossen hat oder ein entsprechender Verdacht besteht. Daneben fi nden sich auf unserer Website neu auch unsere Stellungnahmen zur Über- mittlung von SWIFT-Transaktionsdaten an US-Behörden (Themen – Datenschutz – Fi- nanzen sowie Anhang 4.1 dieses Berichts) und zur Verwendung der AHV-Versicher- tennummer in den Kantonen (Themen – Datenschutz – Sonstige Themen – Ausweise und Register). Weiter sind im vergangenen Berichtsjahr auch zwei Ausgaben des Newsletters datum erschienen. Zum Öffentlichkeitsprinzip haben wir auf unserer Website eine umfangreiche Doku- mentation zusammengestellt. Vgl. dazu Ziffer 3.2.
89 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 3.4 „Übertreiben wir den Datenschutz?“ Aus Anlass des 1. Europäischen Datenschutztages veranstalteten wir zusammen mit dem Europainstitut an der Universität Zürich (EIZ) am 26. Januar 2007 eine Podiumsdiskussion zum Thema „Übertreiben wir den Datenschutz?“ Vor einem grossen Publikum diskutierte Hanspeter Thür mit drei Gästen über aktuelle Fragen des Datenschutzes. Casper Selg, Leiter der Nachrichtensendung „Echo der Zeit“ des Schweizer Radio DRS, führte durch die Veranstaltung mit Anita Thanei, Nationalrätin SP/ZH, Filippo Leuteneg- ger, Nat ionalrat FDP/ZH, Thomas Pletscher, Geschäftsleitungsmitglied economiesuis- se, und Hanspeter Thür, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftrag- ter. Einigkeit herrschte darüber, dass die technologische Entwicklung und die Terror- bekämpfung auch in den kommenden Jahren grosse datenschützerische Herausfor- derungen darstellen werden. Während einerseits betont wurde, die Wirtschaft sollte in ihren Datensammlungen möglichst frei sein, dem Staat jedoch müssten enge Grenzen gesetzt werden, forderte Thür anderseits im wirtschaftlichen Bereich mehr Transpa- renz und plädierte für privatwirtschaftliche Datenschutzzertifi zierung. Der EDÖB wies zudem auf die Gefahren hin, die von der Miniaturisierung der Technik ausgehen. Nicht nur der Staat werde künftig von immer besseren und billigeren Mitteln profi tieren; mit Minidrohnen, Handykameras, RFID-Chips und anderen Mitteln könne bald jeder jeden überwachen.
90 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Aufwand nach Aufgabengebiet 3.5 Statistik über die Tätigkeit des Eidgenössischen Daten- schutz- und Öffentlichkeitsbeauftragten vom 1. April 2006 bis 31. März 2007
91 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Aufwand nach Sachgebiet
92 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Herkunft der Anfragen
93 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 3.6 Statistik über die bei den Departementen eingereichten Zugangsgesuche nach Art. 6 des Öffentlichkeitsgesetzes (Zeitraum: 1. Juli 2006 bis 31. Dezember 2006)
94 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Behandlung der Zugangsgesuche
95 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 3.7 Das Sekretatiat des EDÖB Eidgenössischer Datenschutz-und Öffentlichkeitsbeauftragter: Thür Hanspeter, Fürsprecher Stellvertreter: Walter Jean-Philippe, Dr. iur. Sekretariat: Leiter: Walter Jean-Philippe, Dr. iur. Stellvertreter: Buntschu Marc, lic. iur. Einheit Beratung und Information: 8 Personen Einheit Aufsicht: 11 Personen Kanzlei: 3 Personen
96 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 4 Anhänge 4.1 Der Zugriff auf Transaktionsdaten der SWIFT – Stellungnahme des EDÖB I. Einleitung Der überwiegende Teil des internationalen Zahlungsverkehrs wird über die in Belgien ansässige Society for Worldwide Interbank Telecommunication (SWIFT) abgewickelt. Entsprechend ist die seit Juni dieses Jahres in den Medien verbreitete Meldung äus- serst brisant, wonach die US-Administration im Rahmen ihrer Anstrengungen zur Ter- rorbekämpfung Zugriff auf die Transaktionsdaten der SWIFT hat. Der Datenschutz ist bei der rechtlichen Erfassung dieser Angelegenheit unzweifelhaft einer der zentralen Aspekte. Es haben deshalb die Datenschutzbehörden zahlreicher Länder Abklärungen vorgenommen. Da die SWIFT in Belgien domiziliert ist, kommt namentlich der Untersuchung der dort zuständigen Commission de la protection de la vie privée herausragende Bedeutung zu. Die Kommission hat die Resultate ihrer Arbeit am 27.9.2006 veröffentlicht. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat nach Kenntnisnahme der Vorgänge durch die Presse bei den wichtigsten Akteuren des schweizerischen Bankensektors Informationen eingeholt. Die vorliegende Stellung- nahme basiert auf der Grundlage der so erlangten Kenntnisse, des Berichtes aus Bel- gien 1 sowie der Stellungnahme des Bundesrates zuhanden der Geschäftsprüfungs- kommission des Nationalrates vom 4.7.2006. Der Bundesrat hat in seinem Papier nicht nur die wichtigsten Fakten aufgearbeitet, sondern im Hinblick auf die Rechtmässigkeitsprüfung der Vorgänge auch die Zustän- digkeiten sortiert: Während eine Prüfung auf der Grundlage des Datenschutzgesetzes in der Verantwortung des EDÖB liegt, wäre eine allfällige Verletzung des Bankkunden- geheimnisses durch Gerichte zu prüfen 2 . 1 Avis n° 37 / 2006 du 27 septembre 2006 relatif à la transmission de données à caractère personnel par la SCRL SWIFT suite aux sommations de l‘UST. Nachfolgend als ‚Bericht Belgien’ zitiert und im Volltext abrufbar unter www.privacycommission.be. 2 Nicht zuständig sind für die Rechtmässigkeitsprüfung im vorliegenden Zusammenhang dagegen gemäss Aussage des Bundesrates die Schweizerische Nationalbank (SNB) sowie die Eidgenössische Bankenkommission (EBK).
97 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Eine weitere Einschränkung des Gegenstandes dieser Stellungnahme ergäbe sich streng juristisch aus dem Territorialitätsprinzip. Gemäss den uns vorliegenden Informationen erfolgt in der Schweiz keine Bearbeitung von Personendaten durch die SWIFT 3 . Damit ist nicht die schweizerische, sondern die belgische Datenschutzgesetzgebung auf die SWIFT anwendbar. Die Commission de la protection de la vie privée hat allerdings zu Recht festgestellt, dass angesichts des Zusammenspiels der Akteure (SWIFT und Fi- nanzdienstleister) für die Datenbearbeitung eine geteilte Verantwortung besteht 4 . Konkret stellt sich uns als nationaler Behörde in erster Linie die Frage nach der da- tenschutzrechtlichen Verantwortung der Finanzdienstleister in der Schweiz. Allerdings gilt es dabei den Gesamtzusammenhang nicht aus den Augen zu verlieren. Es ist daher zum einen vorgängig auf das Verhalten der SWIFT einzugehen. Zum anderen können die Schlussfolgerungen nicht allein auf die Situation in der Schweiz fokussie- ren. Die Angelegenheit hat eine internationale Dimension; allein auf das Landesrecht beschränkte Forderungen des Datenschutzes sind zur Bewältigung des Problems also nicht ausreichend. II. Zur Verantwortung der SWIFT Die SWIFT war im Nachgang zu den Anschlägen in New York mit der Kollision von (letztlich unvereinbaren) Pfl ichten verschiedener Rechtsordnungen konfrontiert (Bel- gien, EU, USA). Wie der Bericht aus Belgien aufzeigt, hat die SWIFT entschieden, den Ansprüchen der amerikanischen Rechtsordnung weitgehend stattzugeben. Wiewohl sich die SWIFT in Verhandlungen mit der US-Administration – genauer dem US De- partment of the Treasury – Kontroll- und Einfl ussmöglichkeiten zu sichern wusste 5 , verletzte sie im Ergebnis dennoch in mehreren Punkten belgisches und europäisches Datenschutzrecht 6 . Vor dem Hintergrund der gemeinsamen Verantwortung der SWIFT und der Finanz- dienstleister für die Datenschutzkonformität des Zahlungssystems ist der festgestellte Umfang der Pfl ichtverletzungen der SWIFT auch für die Analyse der Situation in der Schweiz von entscheidender Bedeutung. 3 Weder die SWIFT Switzerland GmbH noch die SWIFT Switzerland National Member and User Group haben Aufgaben, die mit der Bearbeitung von Transaktionsdaten der belgischen SWIFT zusammenhängen. 4 Vgl. Bericht Belgien, S. 14 f. 5 Vgl. Bericht Belgien, S. 6 f. 6 Vgl. Bericht Belgien, S. 16 ff.
98 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Der Umstand des Zusammenwirkens mehrerer Akteure spielt namentlich im Kontext der Informationspfl ichten eine Rolle. Sieht man von der allgemeinen Fragestellung der Rechtmässigkeit des Datenzugriffs durch die US-Administration einmal ab, präsentiert sich als vordergründiges datenschutzrechtliches Problem die fehlende Transparenz dieses Vorgangs für die von der Datenbearbeitung betroffenen Personen. In diesem Punkt muss die gemeinsame Verantwortung für die Datenbearbeitung für SWIFT und Finanzdienstleister auseinander gehalten werden. Im Zusammenhang mit der Verpfl ichtung zu transparenter Datenbearbeitung kommt die belgische Behörde zum Schluss, dass die SWIFT die Finanzdienstleister sowie die Datenschutzbehörden über die Anwendung amerikanischer subpoenas auf die SWIFT, mithin über die Möglichkeit eines Datenzugriffs durch die US-Behörden, hätte infor- mieren müssen 7 . Vor diesem Hintergrund ist die Frage einer allfälligen Verletzung der Informations- pfl icht durch die Finanzdienstleister zu prüfen. Dabei darf nicht vergessen werden, dass es innerhalb des Zahlungssystems der SWIFT ausschliesslich die Finanzdienst- leister sind, die mit den betroffenen Personen überhaupt in Kontakt stehen. Will man einzelfallweise Transparenz gewährleisten, müssen die Finanzdienstleister also zwin- gend in die Pfl icht genommen werden. III. Zur Verantwortung der Finanzdienstleister in der Schweiz Bei der Abwicklung eines Zahlungsvorgangs über ein Finanzinstitut müssen sowohl der Urheber wie auch der Empfänger der Zahlung bekannt sein. Sind in der Schweiz Finanzdienstleister an einem Zahlungsvorgang beteiligt, liegt ohne Weiteres eine Be- arbeitung von Personendaten im Sinne des Schweizerischen Datenschutzgesetzes vor (Art. 3 lit. a und e DSG). Damit obliegen den betroffenen Finanzdienstleistern auch sämtliche Pfl ichten, welche die Datenschutzgesetzgebung für Privatpersonen statu- iert (DSG und VDSG). Wie bereits aufgezeigt, steht innerhalb der denkbaren Pfl ichtverletzung die Frage nach einer Verletzung der Informationspfl icht im Vordergrund. Genauer stellt sich hier die Frage, ob die Finanzdienstleister dem Grundsatz von Treu und Glauben der Datenbe- arbeitung (Art. 4 Abs. 2 DSG) Genüge tun, beziehungsweise getan haben. 7 Vgl. Bericht Belgien, S. 23 f.
99 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Wie wir bereits zu einem früheren Zeitpunkt betont haben, ist in dieser Frage der Kenntnisstand der Finanzinstitute von entscheidender Bedeutung. Soweit Finanz- dienstleister Kenntnis von der Datenweitergabe durch die SWIFT hatten, verpfl ichtet sie das Datenschutzgesetz dazu, die betroffenen Personen zu informieren. Das ge- setzlich statuierte Erfordernis nach transparenter Datenbearbeitung erfüllt nur, wer die betroffenen Personen über nachgelagerte Bearbeitungsschritte informiert 8 . Ange- sichts der Chronologie eines Zahlungsvorgangs kann die Informationspfl icht dabei nur dem überweisenden Finanzdienstleister obliegen. Wohlgemerkt löst bereits die Kenntnis der blossen Möglichkeit der Zugriffnahme auf die SWIFT-Daten durch Dritte eine Informationspfl icht aus. Weitergehende Kenntnisse sind dafür nicht nötig, aber offenbar auch nicht möglich. Selbst die Untersuchung der Commission de la protection de la vie privée vermochte im Einzelnen nicht zu erhellen, in welchem Umfang die US-Administration Zugriff auf Transaktionsdaten genommen hat 9 . Die Verpfl ichtung zu transparenter Datenbearbeitung besteht weiterhin. Dass die Öf- fentlichkeit über die Weitergabe von Daten der SWIFT an die US-Behörden informiert wurde, spielt hier keine Rolle. Es kann nicht als allgemein bekannt vorausgesetzt wer- den, dass auch nach Aufdeckung der Angelegenheit durch die Medien ein Datentrans- fer durch die SWIFT weiterhin stattfi ndet. Hingegen ist seit der Publikation des Berichts der belgischen Kommission autoritativ festgestellt 10 , dass die SWIFT ihre Daten auch in den USA bearbeitet. Damit fi ndet eine Datenweitergabe in ein Land statt, das keinen Datenschutz gewährleistet, der dem schweizerischen gleichwertig ist (Art. 6 Abs. 1 DSG). Die Finanzdienstleister können sich heute nicht mehr darauf berufen, von diesem Umstand keine Kenntnis zu ha- ben. 8 Die Pfl icht zur Schaffung von Transparenz muss auch vor dem Hintergrund gesehen werden, dass zur Abwicklung internationaler Zahlungen Alternativen zum Zahlungssystem der SWIFT bestehen. Vgl. dazu Bericht Belgien, S. 3. 9 Vgl. insbes. Bericht Belgien, S. 6. 10 In den Medien wurde dieser Umstand bereits früher verschiedentlich erwähnt.
100 14. Tätigkeitsbericht 2006/ 2007 des EDÖB IV. Schlussfolgerungen • Die belgische Kommission hat auf der Grundlage ihrer Abklärungen mehrere Ver- letzungen von belgischem und europäischem Datenschutzrecht festgestellt. Vor dem Hintergrund dieser Erkenntnisse ist festzustellen, dass auch das schweize- rische Datenschutzrecht verletzt wird. Zum einen wird der Pfl icht nach transpa- renter Datenbearbeitung nicht Genüge getan, zum anderen sind die in Artikel 6 DSG statuierten Erfordernisse nicht erfüllt. • Wir unterstützen die von der Commission de la protection de la vie privée in ih- rem Bericht gezogenen Schlussfolgerungen. Eine Lösung, die dem Anliegen der Terrorbekämpfung gerecht wird, aber auch die Datenschutzordnungen der Länder respektiert, die das SWIFT-System nutzen, hätte politischer Verhandlungen bedurft. Aus Sicht des schweizerischen Datenschutzes besteht solcher Handlungsbedarf bis heute. • Die Forderung nach Schaffung von Transparenz durch die Finanzdienstleister in der Schweiz ist in Anbetracht der Gesamtsituation unzureichend. Analog zur Ange- legenheit mit den Flugpassagierdaten muss auch hier auf dem Verhandlungsweg eine Optimierung der Situation angestrebt werden: Anzustreben ist eine Lösung, die sowohl der US-Gesetzgebung Rechnung trägt als auch die europäischen Da- tenschutznormen respektiert. • Wir würden es begrüssen, wenn auch die Schweizer Banken, über deren Vertreter in der SWIFT Ländergruppe Schweiz und Liechtenstein, die Bemühungen zur Errei- chung dieses Resultats nach Kräften unterstützten. • Im Rahmen unserer Zusammenarbeit mit den europäischen Datenschutzbehör- den, namentlich mit der Artikel 29 Datenschutzgruppe, werden wir darauf hinwir- ken, dass eine datenschutzkonforme Lösung erreicht wird, die insbesondere auch den Anforderungen von Artikel 6 DSG gerecht wird.
101 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 4.2 Erläuterungen über das Öffnen von privaten E-Mails am Arbeitsplatz Ausgangslage Der Arbeitgeber wird häufi g mit der Frage konfrontiert, welches seine Kompetenzen in der Handhabung von Beweismaterial sind, falls eine angestellte Person unter Verwen- dung des Internet oder von E-Mail gegen das Strafgesetzbuch verstossen hat oder ein entsprechender Verdacht besteht. Ein häufi g genanntes Beispiel ist dasjenige eines Angestellten, der verdächtigt wird, via E-Mail Fabrikationsgeheimnisse an Dritte wei- tergegeben zu haben. In diesem Fall muss sich der Arbeitgeber nicht nur die Frage stellen, wie er die Beweisstücke physisch sichern soll, sondern auch, ob er auf diese überhaupt zugreifen darf, um seinen Verdacht zu erhärten. Diese Frage ist insofern von Belang, als Beweise, die unter Verletzung der Persönlichkeit gesammelt worden sind, vom Gericht als unzulässig beurteilt werden können. Da weder das Fernmeldegeheimnis (Art. 43 Fernmeldegesetz, FMG, SR 784.10) noch die Bestimmungen des Strafgesetzbuches, welche die Verletzung des Schriftgeheim- nisses betreffen (Art. 179 Strafgesetzbuch, StGB, SR 311.0), anwendbar sind, kommen zur Klärung der Ausgangsfrage allein das Datenschutzgesetz (DSG, SR 235.1) und das Arbeitsrecht (Art. 328, 328b und 362 Obligationenrecht, OR, SR 220) in Frage. Zuerst ist festzuhalten, dass es dem Arbeitgeber wegen seiner Pfl icht, die Persönlich- keit des Angestellten zu achten (Art. 328 und 328b OR), grundsätzlich nicht zusteht, dessen private E-Mails zu öffnen. Zur geschäftlichen Korrespondenz hat der Arbeitge- ber hingegen jederzeit Zugang. In bestimmten Fällen, insbesondere wenn ein Verdacht auf Verletzung des Strafgesetz- buches unter Verwendung von E-Mail besteht (beispielsweise ein Verdacht auf Ver- letzung des Berufsgeheimnisses, Art. 320 StGB und Art. 35 DSG), hat der Arbeitgeber das Recht, Beweismaterial zu sichern. Er darf dieses namentlich auf geeignete Weise speichern, insbesondere durch das Erstellen einer physischen Kopie mittels Backup oder Mirroring; der Arbeitgeber stellt also eine Kopie der Originaldateien mit einer zu diesem Zweck geschaffenen Software her. In einem solchen Fall ist das Sichern von Beweisstücken aber nur durch das überwie- gende Interesse des Arbeitgebers und durch das Vorliegen konkreter Anhaltspunkte gerechtfertigt. Solche sind insbesondere dann gegeben, wenn Beweise oder zumin- dest ein begründeter Verdacht auf eine Verletzung des Strafgesetzbuches vorliegen. Vage Gefühle, Eindrücke, Vermutungen oder der blosse Mangel an Vertrauen gegenü- ber den Angestellten stellen in der Regel keine ausreichende Grundlage dar, um eine Untersuchung einzuleiten.
102 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Für den Arbeitgeber ist es unbestreitbar schwierig, einzig auf der Grundlage von blos- sen Vermutungen – und seien diese noch so konkret – zu entscheiden, ob die Ein- leitung einer Untersuchung angebracht sei. Deshalb hat der Arbeitgeber häufi g den Wunsch, zur Überprüfung seines Verdachts private E-Mails der verdächtigten Person zu öffnen, um in Kenntnis des Sachverhalts über die Einleitung einer Untersuchung zu entscheiden. Dass der Arbeitgeber diese Briefe liest, kann übrigens auch im Inte- resse des verdächtigten Angestellten sein, vermag ihn dies doch unter Umständen vom geäusserten Verdacht zu entlasten und ihm eine (ungerechtfertigte oder schlecht begründete) Anfeindung zu ersparen. Der Arbeitgeber sollte folglich Zugang zu den privaten E-Mails des Angestellten ha- ben, wenn dies zwingend notwendig ist, um den Verdacht besser zu begründen oder – im Gegenteil – zu zerstreuen und wenn der Einsichtnahme keine überwiegenden Interessen der betroffenen Person entgegenstehen. In diesem Fall ist die betroffene Person jedoch vorgängig zu informieren; sie muss dem Arbeitgeber ihr Einverständnis zum Öffnen privater E-Mails erteilen. Auch das Prinzip der vier Augen muss beachtet werden. Sollte sich die betroffene Person gegen diese Vorgehensweise aussprechen, empfehlen wir, die Verantwortung für das Aufnehmen von Beweisen, insbesondere für das Öffnen privater E-Mails, den Untersuchungsbehörden zu überlassen. Diese ge- währleisten eine professionelle und neutrale Untersuchung, die Integrität des Beweis- materials dank der beteiligten Spezialisten (forensic computing scientists) sowie die Respektierung des Rechts, namentlich der Bestimmungen, welche die Überwachung am Arbeitsplatz betreffen (insbesondere Art. 59 Abs. 1 Bst. a Arbeitsgesetz, ArG, SR 822.11, sowie Art. 26 der Verordnung 3 zum Arbeitsgesetz, ArGV3, SR 822.113). Be- weismaterial, das der Arbeitgeber unter Missachtung dieser Normen gesammelt hat, wird vom Gericht möglicherweise nicht zugelassen. Wir sind ferner der Ansicht, dass Beweismaterial, welches der Arbeitgeber durch sei- nen Zugriff auf private E-Mails des verdächtigten Angestellten gesammelt hat, vor Ge- richt ausnahmsweise in den folgenden Fällen zugelassen werden kann: wenn über- wiegende Interessen des Arbeitgebers dies erfordern (z.B. im Fall eines Notstands, Art. 34 StGB) oder wenn eine superprovisorische Massnahme des Richters nicht ausrei- chen würde, damit das Beweismaterial sichergestellt werden kann. Falls das kantonale Recht die alleinige Kompetenz der Untersuchungsbehörden zum Öffnen privater E-Mails vorsieht, so ändert das Einverständnis des Angestellten nichts an dieser Tatsache. Die Wirkungslosigkeit der Willensbekundung seitens des Angestell- ten ergibt sich einerseits aus dem Vorrang des kantonalen Rechts vor einer privaten Willensbekundung; andererseits könnte ein derartiges Einverständnis, zumindest im hier besprochenen Fall, dem Angestellten schaden. Auch aus diesem Grund ist das Einverständnis des Arbeitnehmers als juristisch nicht zwingend einzustufen (siehe Art. 362 und 328 OR).
103 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 4.3 Erläuterungen zum Ticketing in Skigebieten Zunehmend ausgeklügeltere Zugangskontrollsysteme in Wintersport- gebieten wecken datenschützerische Bedenken. Wo die Snowboarde- rinnen und Skifahrer vor Jahren noch mittels einfacher Lochkarten kon- trolliert wurden, kommen heute elektronische Kontrollsysteme zum Einsatz. Im Umgang mit den Personendaten der Wintersportlerinnen und -sportler müssen die Datenschutzprinzipien eingehalten werden. Beim Kauf eines Abonnements für die Benutzung von Wintersportanlagen müssen Kundinnen und Kunden ein Passfoto ab- und Personalien bekannt geben. Dies sind so genannte Personendaten. Die Sammlung und Weiterverarbeitung dieser Daten durch den Betreiber der Anlagen stellt eine Datenbearbeitung im Sinne des Datenschutzge- setzes (DSG) dar, dessen rechtliche Grundsätze berücksichtigt werden müssen. Nun bedienen sich die Betreiber von Wintersportanlagen zunehmend elektronischer Zu- gangskontrollsysteme, installiert jeweils an den Talstationen der Bahnen. Passiert der Kunde die Schranke, erscheint das Foto des Abonnementsinhabers auf einem Bild- schirm. Einerseits ermöglicht dieses System zu kontrollieren, ob Inhaber und Träger des Abonnements identisch sind, anderseits kann so die Gültigkeit der Abonnemente geprüft werden. Diese Kontrolle wird im Normalfall vom Personal der Wintersportsta- tion vorgenommen. In einigen Skigebieten jedoch ist dieser Bildschirm auch für Dritte sichtbar, die sich in der Nähe des Kontrollpunktes aufhalten. Die persönlichen Daten des Abonnementsinhabers erscheinen auf dem Bildschirm und sind bei gewissen An- lagen so lange zu sehen, bis der nächste Kunde den Kontrollpunkt passiert. Das kann mehrere Minuten dauern. Zunächst hält der EDÖB fest, dass jede Person prinzipiell ein Recht auf Achtung ihrer Privatsphäre und insbesondere auf den Schutz ihrer Identität gegenüber Dritten hat, auch und gerade im Rahmen ihrer Freizeitaktivitäten. Eine allfällige Bearbeitung von Personendaten erfordert deshalb einen Rechtfertigungsgrund. Als solcher gilt ein Ge- setz, aber auch ein überwiegendes privates oder öffentliches Interesse oder die Ein- willigung der betroffenen Personen. Selbst bei Vorliegen eines Rechtfertigungsgrundes müssen zudem die allgemeinen Prinzipien des Datenschutzes (Zweckbindung, Treu und Glauben, Verhältnismässigkeit) gewährleistet sein. Dazu gehört, gemäss Transpa- renzprinzip, auch die Information der Abonnementsinhaberinnen und -inhaber über den Zweck und die Modalitäten der Bearbeitung ihrer Personendaten.
104 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Nun stellt sich die Frage, ob der Betreiber einer Wintersportstation für die Anzeige von Personendaten auf einem Bildschirm, der auch für Dritte sichtbar ist, einen Rechtferti- gungsgrund geltend machen kann – ob eine solche Zurschaustellung also gemäss Da- tenschutzgesetz rechtmässig ist. Dazu hält der EDÖB folgendes fest: Im vorliegenden Fall existiert kein Gesetz, und es kann auch kein überwiegendes öffentliches Interesse geltend gemacht werden. Bleiben als Rechtfertigungsgründe ein überwiegendes pri- vates Interesse oder die Einwilligung der Betroffenen. Zweifellos hat der Betreiber einer Wintersportanlage ein legitimes und prinzipiell über- wiegendes Interesse daran, die Gültigkeit der Abonnemente zu prüfen und insbeson- dere zu kontrollieren, dass Dritte nicht unerlaubterweise nicht-übertragbare Abonne- mente benutzen. Zu diesem Zweck darf er ein elektronisches Zugangskontrollsystem einsetzen, wobei die allgemeinen Grundsätze des Datenschutzes respektiert werden müssen. Folgende Überlegungen sind entscheidend: • Der EDÖB bezweifelt, dass die öffentliche Anzeige auf dem Bildschirm der Kontrol- le der Gültigkeit der Abonnemente dienlich ist. Es ist nicht Sache der anderen Kun- dinnen und Kunden, anstelle des Personals zu kontrollieren, dass kein Missbrauch stattfi ndet. Vielmehr scheint der Einsatz solcher Systeme darauf abzuzielen, even- tuelle Missetäter abzuschrecken. • Grundsätzlich muss im Rahmen des Möglichen die Massnahme gewählt werden, die den Schutz der Privatsphäre am wenigsten gefährdet (Verhältnismässigkeits- prinzip). Die öffentliche Anzeige von Personendaten kann eine nicht vernachläs- sigbare Beeinträchtigung der Privatsphäre der Betroffenen bedeuten. Im vorlie- genden Fall ist eine solche Massnahme nicht verhältnismässig, denn es existieren mindestens ebenso effi ziente und zudem datenschutzkonforme Kontrollmöglich- keiten, so z.B. die systematische oder sporadische Kontrolle durch Angestellte. Dazu dürfen Bildschirme jedoch nur dem Personal zugänglich sein. • Zudem muss bedacht werden, dass auch im Falle eines Missbrauchs nicht die Personendaten des Missetäters gezeigt werden, sondern die des Abonnements- inhabers, der unter Umständen mit dem Missbrauch gar nichts zu tun hat, also unschuldig exponiert wird.
105 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Die Betreiber von Wintersportanlagen können sich also auch nicht auf ein überwie- gendes privates Interesse als Rechtfertigung für die Zurschaustellung von Personen- daten vor unbeteiligten Dritten berufen. Bleibt als Rechtfertigungsgrund einzig die Zu- stimmung der betroffenen Personen. Hierzu betont der EDÖB, dass die Zustimmung frei und aufgeklärt erfolgen muss. D.h., der Kunde oder die Kundin muss ein Recht haben, die Bearbeitung der eigenen Personendaten abzulehnen, ohne Nachteile zu er- fahren. Die Kommunikation der Personendaten müsste also fakultativ sein, was tech- nisch möglich wäre, praktisch aber den Kontrollabsichten der Betreiber zuwiderläuft. Fazit: Die öffentliche Anzeige von Foto und Identität der Benutzerinnen und Benutzer von Wintersportanlagen ist nicht mit dem Eidgenössischen Datenschutzgesetz ver- einbar. Es gibt andere Mittel, die nicht so tief in die Privatsphäre einschneiden, um die Gültigkeit von Abonnementen zu prüfen und Missbräuche zu verhindern, so z.B. systematische oder sporadische Abonnementskontrollen, wie wir sie von öffentlichen Verkehrsmitteln kennen. Unter den gegebenen Umständen ist die Kommunikation von Personendaten an Drittpersonen nicht nötig und unverhältnismässig. Im Falle einer widerrechtlichen Persönlichkeitsverletzung haben Betroffene Klagemög- lichkeiten nach Art. 15 DSG.
106 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 4.4 Erklärung von London „Datenschutz vermitteln und effektiver gestalten“ Ursprung dieser Initiative Dieser Bericht hat seinen Ursprung in der Rede von Alex Türk, dem Vorsitzenden der französischen Datenschutzbehörde (CNIL), anlässlich einer im Mai 2006 vom pol- nischen Generalinspektor für Datenschutz in Warschau abgehaltenen Konferenz zum Thema „Öffentliche Sicherheit und Schutz der Privatsphäre“. Alex Türk sprach über seine ernste Besorgnis angesichts der Herausforderungen, denen die Datenschutz- behörden zurzeit gegenüberstehen. Er betonte, dass die Datenschutzbehörden ihre Aktivitäten dringend auf diese Herausforderungen ausrichten müssten, da andernfalls Gefahr bestehe, dass die den Datenschutzbestimmungen zugrunde liegende Philoso- phie in kürzester Zeit an Gehalt verliere. Im Anschluss an die Konferenz lud der Europäische Datenschutzbeauftragte (EDPS) den CNIL ein, eine gemeinsame Initiative ins Leben zu rufen, um die Notwendigkeit dieser dringlichen Maßnahmen bei der Konferenz in London zu präsentieren. Der britische Datenschutzbeauftragte gab der Initiative sofort volle Unterstützung. Vorlie- gender Bericht wurde in enger Zusammenarbeit der drei genannten Datenschutzbe- hörden erstellt. Durch ihren Beitritt zu dieser Initiative verpfl ichten sich die teilnehmenden Daten- schutzbehörden, ihre Aktivitäten im Hinblick auf die folgenden Ziele zu koordinieren: • Entwicklung von Kommunikationsaktivitäten auf der Grundlage gemeinsamer Ideen, von denen einige in beigefügtem Text zum Ausdruck gebracht werden • Anpassung der eigenen Verfahrensweisen und Methoden durch eingehende Be- urteilung ihrer Effektivität und Effi zienz sowie durch Ausweitung ihrer Kapazitäten in den Bereichen technische Kompetenz, Trendprognose und Intervention im tech- nologischen Bereich • Beitrag zur institutionellen Anerkennung von Datenschutzbehörden auf internati- onaler Ebene und Förderung der Einbeziehung anderer relevanter Interessenver- treter auf nationaler und internationaler Ebene.
107 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Zum gegenwärtigen Zeitpunkt haben die folgenden Datenschutzbehörden bestätigt, diese Initiative grundsätzlich zu unterstützen: • Commission nationale de l’informatique et des libertés (Frankreich) • European Data Protection Supervisor (Europäische Union) • Information Commissioner (Großbritannien und Nordirland) • Privacy Commissioner of Canada (Kanada) • Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Deutschland) • Agencia Española de Protección de Datos (Spanien) • Garante per la Protezione dei Dati Personali (Italien) • College Bescherming Persoonsgegevens (Niederlande) • Privacy Commissioner (Neuseeland) • Préposé fédéral à la protection des données et à la transparence (Suisse) / Eidge- nössische Datenschutz und Öffentlichkeitsbeauftragte (Switzerland) Die gemeinsame Initiative wird während der geschlossenen Sitzung der Internationa- len Konferenz der Datenschutzbeauftragten in London am 2.-3. November präsentiert. Sie ist nicht als Beschluss formuliert. Das Dokument wird als gemeinsame Initiative des französischen, europäischen und britischen Datenschutzbeauftragten präsentiert, unterstützt von den oben genannten Datenschutzbehörden, die sich auf diese Weise verpfl ichten, die Initiative in ihren Aktivitäten zu berücksichtigen. Die anderen bei der Konferenz vertretenen Datenschutzbehörden werden eingeladen, ihre Unterstützung der Initiative zum Ausdruck zu bringen oder auch beizutreten, wenn sie dies wün- schen. Sie werden nicht aufgefordert, dieses Dokument offi ziell zu verabschieden. Nach einer einführenden Erinnerung, warum Datenschutz für unsere Gesellschaften unerlässlich ist (I), analysiert der Text im Einzelnen die Bedrohungen, denen persön- liche Freiheiten und Datenschutz heute weltweit ausgesetzt sind und die ebenso viele Herausforderungen für die Aufsichtsbehörden darstellen (II). Aus den Ausführungen werden verschiedene Vorschläge für koordinierte Aktivitäten und Initiativen hergelei- tet (III), wie auch für die Entwicklung einer neuen Kommunikationsstrategie (IV).
108 14. Tätigkeitsbericht 2006/ 2007 des EDÖB I. DATENSCHUTZ IST FÜR DIE GESELLSCHAFT UNERLÄSSLICH
109 14. Tätigkeitsbericht 2006/ 2007 des EDÖB der technologischen Entwicklung Schritt halten. Das Tempo der technologischen Entwicklung wird immer schneller, während das Tempo der Gesetzgebung nach wie vor sehr langsam ist, da es an den von demokratischen Verfahrensweisen auferlegten Rhythmus angepasst ist. 6. Globalisierung: Die örtliche Verlagerung der Datenverarbeitung steht in voller Blüte. Es lässt sich wohl kaum bestreiten, dass der internationale Datentransfer sehr schwer zu kontrollieren ist. Dieser Trend hin zur Globalisierung steht im Kon- fl ikt mit einem der Hauptmerkmale der Rechtsstaatlichkeit – ihrer geografi sch beschränkten Anwendbarkeit. 7. Ambivalenz: Technologische Innovation bringt sowohl Fortschritt als auch Ge- fahren mit sich. Für den Einzelnen mögen die aus Technologie erwachsenden Vor- teile und Bequemlichkeiten eine große Verlockung darstellen, die Risiken werden ihm vielleicht jedoch erst dann bewusst, wenn er oder jemand anders zu Schaden gekommen und es zu spät ist. Vielen Menschen ist es egal, dass alle ihre Bewe- gungen, Aktivitäten und Beziehungen nachvollzogen und potenziell überwacht werden können. Diese Zwiespältigkeit gegenüber der Technologie lässt sich nur schwer mit der Rechtsstaatlichkeit vereinbaren, die defi nitionsgemäß fest umris- sene Antworten geben möchte. 8. Unvorhersehbarkeit: Die Anwendung neuer Technologien entwickelt sich manch- mal in Richtungen, die anfangs selbst von den Entwicklern der Technologie nicht vorhergesehen wurden. Diese nicht vorhersehbaren Einsatzmöglichkeiten können schwer zu kontrollieren sein, insbesondere wenn die Anwendung einer Techno- logie von den ursprünglich geplanten Einsatzmöglichkeiten – auf die das Gesetz einfach anwendbar erschien – völlig abweicht. 9. Unsichtbarkeit (virtuelle Unsichtbarkeit/körperliche Unsichtbarkeit): Die Daten- verarbeitung ist immer weniger sichtbar und greifbar, gleichzeitig auch immer we- niger kontrollierbar. Moderne Technologien tendieren zu Unsichtbarkeit, erstens, weil ein großer Teil der Datenverarbeitung stattfi ndet, ohne dass sich der Einzelne ihrer Existenz bewusst ist (z. B. Nachverfolgbarkeit der Nutzung öffentlicher Ver- kehrsmittel, des Surfverhaltens im Internet, der elektronischen Kommunikation, der Telefonkommunikation usw.). Da die Prozesse unsichtbar sind, kann man hier von virtueller U nsichtbarkeit sprechen. Technologie wird aber auch unsichtbar aufgrund ihrer extremen Miniaturisierung, die man als körperliche Unsichtbarkeit bezeichnen kann. In ein paar Jahren wird die Entwicklung von Nanotechnologien dazu führen, dass man die in einem Gegenstand enthaltene Technologie mit dem bloßen Auge nicht mehr erkennen kann. Wie will man Verarbeitungsprozesse über- wachen, die von unsichtbaren Technologien ausgeführt werden?
110 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 10. Irreversibilität: Technologischer Fortschritt lässt sich nicht umkehren: Wir werden nie wieder in einer Welt ohne Computer, Internet, Handys, biometrischer Identifi - zierung, Geolokalisierung und Videoüberwachung leben. In dem Maße, wie diese Technologien konvergieren und immer stärker miteinander verwoben werden, können sie in ihrer Gesamtheit eine echte Gefahr für unsere Gesellschaft darstel- len. B. Die zweite Herausforderung ist gesetzlicher Art, insbesondere in Bezug auf die neuen Antiterrorgesetze 11. Der Erlass von Antiterrorgesetzen bedeutet eine Herausforderung für die Daten- schutzbehörden, die in diesem Zusammenhang Fallen vermeiden, Illusionen auf- geben und Mythen bekämpfen müssen. 12. Die Notwendigkeit von Ausgewogenheit: Unabhängige Datenschutzbehör- den sind weder Gesetzgeber noch Gerichtshöfe noch Aktivisten, spielen aber den- noch eine äußerst spezifi sche Rolle. In den seltensten Fällen ist es ihnen möglich, Probleme auf klar umrissene Weise zu lösen. Alle Datenschutzbehörden erkennen die Legitimität von Antiterrorgesetzen an, wie sie in den vergangenen Jahren ent- wickelt wurden. Vor dem Hintergrund des Auftrags, den die Datenschutzbehörden vom Gesetz erhalten haben, und im Auftrag der Gesellschaft insgesamt ist es je- doch ihre Pfl icht, kontinuierlich nach dem richtigen Gleichgewicht zwischen den Erfordernissen der öffentlichen Sicherheit einerseits und der Notwendigkeit des Datenschutzes und des Schutzes der Privatsphäre andererseits zu streben. Sie müssen diese Rolle vollkommen unabhängig erfüllen und die inakzeptablen An- schuldigungen verantwortungslosen Handelns von sich weisen, die gelegentlich gegen sie vorgebracht werden. 13. Die Gefahr, in einen Teufelskreis zu geraten: Dieses Risiko – eine Art „schlei- chende Funktionsausweitung“ – sieht folgendermaßen aus: Eine Datenbank wird zu einem bestimmten Zeitpunkt in einer bestimmten Situation angelegt. Die Auf- sichtsbehörde ist in die Entwicklung der Datenbank involviert. Zu einem späteren Zeitpunkt erweitert sich der Wirkungsbereich dieser Datenbank. Beispielsweise werden zunächst die Kategorien der erfassten Personen erweitert, dann die Grün- de, warum jemand registriert werden kann, später wiederum die Kategorien der Personen, die Zugriff auf die Datenbank haben. In diesen späteren Phasen steht die Behörde dem Argument gegenüber, dass sie eine einfache Erweiterung nicht verweigern kann, da sie das Prinzip zur Erstellung der ursprünglichen Datenbank akzeptiert hat, und so weiter. Und dies, obwohl der ursprünglich akzeptierte Um- fang des Systems zwischen der ersten und der letzten Entwicklungsphase so stark vergrößert wurde, dass er nicht länger akzeptabel ist.
111 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 14. Das Trugbild der mustergültigen Natur von Präzedenzfällen in anderen Ländern: Landesregierungen bringen als Angriff auf die landeseigene Datenschutz- behörde häufi g das Argument vor, dass ein anderes Land bereits ein bestimmtes System eingeführt hat, wenn diese sich sträubt, ein in anderen Ländern verwen- detes System diskussionslos zu akzeptieren. Dies führt zu ernsten Harmonisie- rungsproblemen und dazu, dass die Datenschutzbehörden einen gemeinsamen Nenner fi nden und gemeinsam nachdenken müssen. 15. Die Illusion der Datenbank als Allheilmittel: Die Datenschutzbehörden müs- sen Öffentlichkeit und Regierung fortwährend daran erinnern, dass durch die Schaffung von Datenbanken mit immer mehr Personendaten nicht alle Probleme gelöst werden können. Der „Glorienschein“ der angeblich unfehlbaren Compu- terdatei erweist sich häufi g als Illusion. Außerdem steigt mit der Verarbeitung von immer mehr Personendaten auch das Risiko falscher Zuordnungen, veralteter In- formationen und anderer Fehler. Dies kann den Lebenschancen, der Gesundheit, dem Wohlstand und selbst der Freiheit des Einzelnen ernstlich schaden. 16. Der Mythos der unfehlbaren Datei (das „Mehrheits-/Minderheitspro- blem“): Nur allzu häufi g wird völlig unfundiert angenommen, dass wir alle aus gutem Grund in einer Datenbank erfasst werden – mit dem Ergebnis, dass sich Personen, die unnötig oder unangemessen erfasst werden („die Minderheit“), ge- legentlich in unmöglichen Situationen wiederfi nden, da jeder der Ansicht ist, es sei praktisch unmöglich, in einem derart effi zienten System grundlos erfasst zu wer- den. Aus diesem Grund ist es aus ethischer Sicht äußerst wichtig, immer wieder darauf hinzuweisen, dass Technologie nicht unfehlbar ist, und die automatische Entscheidungsfi ndung, insbesondere in Bereichen wie Sicherheit und Recht, zu verbieten. C. Bei der dritten Herausforderung geht es um den Ruf 17. Zumindest in einigen Ländern genießen Datenschutz und Datenschutzbehörden nicht den guten Ruf, den sie verdienen. Es kann die Auffassung herrschen, dass die Bestimmungen komplex sind und sich in der Praxis nur schwer auf konse- quente, vorhersehbare und realistische Weise umsetzen lassen. Manche kritisieren die Kontrolle des Datenschutzes als übertrieben abstrakt und nicht ausreichend auf tatsächliche und potenzielle Gefahren ausgerichtet, die sowohl für den Ein- zelnen als auch für die Gesellschaft insgesamt erwachsen, wenn die Bestimmun- gen nicht beachtet werden. Andere kritisieren die Art und Weise, in der diese Be- stimmungen umgesetzt und durchgesetzt werden, und den Mangel an positiven oder negativen Anreizen zur Einhaltung der Bestimmungen oder zur Investition in angemessene Maßnahmen. Negative Auffassungen wie diese werden von Politi-
112 14. Tätigkeitsbericht 2006/ 2007 des EDÖB kern, Verwaltungsbeamten, Unternehmen, den Medien und manchmal auch von Privatpersonen vertreten. Es ist wichtig, gegen derartige Ansichten vorzugehen, die praktische Bedeutung des Datenschutzes aufzuzeigen, die viel besprochenen Grundrechte und Grundfreiheiten zur Realität zu machen und die derzeitigen Prak- tiken – sofern angemessen – zu überdenken. III. AUFGABEN UND INITIATIVEN FÜR DATENSCHUTZBEHÖRDEN 18. Die Datenschutzbehörden müssen dringend Maßnahmen ergreifen, um in ihren Bürgern ein gesteigertes Bewusstsein und ein besseres Verständnis der ernsten Risiken zu wecken, die ihre persönlichen Freiheiten in ihrem jeweiligen Land be- drohen. Sie müssen ferner ihre Arbeitsmethoden und ihre Effi zienz und Effektivität überdenken. A. Die Datenschutzbehörden müssen gemeinsam Änderungen und koordi- nierte Strategien vorbringen, um so auf neue, effektivere und sachdien- lichere Weise zu handeln 19. Stärkung der Kapazitäten in den Bereichen Fachwissen, fortgeschritte- ne Studien und Intervention im Technologiesektor: Der Datenschutz leidet zurzeit unter seinem übermäßig „rechtsbetonten“ Image. Die Glaubwürdigkeit un- serer Institutionen hängt jedoch schon heute und auch in Zukunft immer mehr von unserer Fähigkeit ab, technologische Entwicklungen zu verstehen, zu analysieren und vorherzusehen. 20. Zur Analyse dieser neuen Trends müssen die Datenschutzbehörden Strategien erarbeiten, um sich die Arbeit abhängig vom jeweiligen Fall, ihren Erfahrungen, Zuständigkeiten und praktischen Maßnahmen zu teilen. 21. Sie müssen überlegen, welche Beziehungen sie im Bereich neue Technologien zu Forschung und Industrie aufbauen wollen. Sie müssen die Vorteile eines guten Datenschutzes gegenüber Wirtschaft und öffentlichen Körperschaften betonen. 22. Beurteilung unserer Effektivität und Änderung unserer Praktiken: Wir müssen unbedingt eine detaillierte und ehrliche Beurteilung der Effektivität einer jeden Behörde durchführen. Zeigt die Arbeit der jeweiligen Behörde wirklich Aus- wirkungen, erreicht sie etwas in der Praxis? Werden Worte in Taten umgesetzt? Durch derartige Beurteilungen lernen wir, wie wir unsere Ergebnisse verbessern können.
113 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 23. Die Beurteilung der Effektivität aller Behörden wird sicherlich dazu führen, dass ei- nige von ihren Gesetzgebern verlangen, sie mit ausreichend Befugnissen und Mit- teln auszustatten. Möglicherweise werden auch Fragen zu den Praktiken einiger Behörden aufgeworfen. Wir alle müssen Prioritäten setzen, insbesondere was Ge- fahr und Schwere eines möglichen Unheils anbelangt. Wir müssen uns primär auf die Hauptrisiken konzentrieren, denen der Einzelne ausgesetzt ist, und vorsichtig sein, dass wir bei Angelegenheiten, die es nicht verdienen, nicht übermäßig pu- ristisch und rigide vorgehen. Wir müssen zu größerem Pragmatismus und mehr Flexibilität bereit sein. B. Datenschutzbehörden müssen gemeinsam überlegen, wie sie auf inter- nationaler Ebene eine bessere institutionelle Anerkennung ihrer Aktivi- täten erzielen und andere Interessenvertreter involvieren können 24. Eine notwendige Umstrukturierung der Internationalen Konferenz: Glo- bale Herausforderungen brauchen globale Lösungen. Die Internationale Konferenz der Datenschutzbeauftragten muss an der Spitze unserer Aktivitäten auf interna- tionaler Ebene stehen. Wir müssen für die Lebens- und Existenzfähigkeit der Kon- ferenz sorgen, ihre Funktionsweise verbessern, sie sichtbarer und effi zienter ma- chen und einen Aktionsplan – ein Kommunikationsprogramm – erarbeiten. Dazu gehört möglicherweise, dass wir darüber nachdenken, ein permanentes Sekreta- riat für die Konferenz einzurichten. Die Konferenz muss zu einem unvermeidbaren Gesprächspartner bei allen internationalen Initiativen werden, die einen Einfl uss auf den Datenschutz haben. Sie muss Raum für Gespräche bieten und Vorschläge aufkommen lassen, damit internationale Initiativen besser verfolgt, Praktiken auf- einander abgestimmt und gemeinsame Standpunkte bezogen werden. 25. Ausarbeitung einer internationalen Konvention und anderer globaler Ins- trumente: In der Erklärung von Montreux (2005) forderten die Datenschutzbeauf- tragen eine universelle Konvention für den Datenschutz. Diese Initiative muss von den Datenschutzbehörden mit den zuständigen Institutionen unterstützt werden, mit gebührlichem Respekt für deren institutionelle Position und ggf. für die notwen- digen Vorbedingungen einer landesinternen Koordination. Innerhalb dieses Rah- menwerks sollten sich die Datenschutzbehörden bemühen, die Initiative in ihrem jeweiligen Einfl ussbereich voranzutreiben, vor allem innerhalb der regionalen Or- ganisationen und der Sprachzonen, in denen sie tätig sind. In bestimmten Sektoren (z. B. Internetkontrolle, Finanztransaktionen, Flugverkehr) kann die Notwendigkeit globaler Lösungen zur Respektierung von Privatsphäre und Datenschutz entste- hen, worauf die Datenschutzbehörden mit allen geeigneten Mitteln eingehen müs- sen.
114 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 26. Involvierung anderer Interessenvertreter (Einrichtungen der Zivilgesell- schaft, Nichtregierungsorganisationen usw.): Zurzeit sind sowohl national als auch international diverse andere Interessenvertreter für den Datenschutz und den Schutz der Privatsphäre aktiv, auf unterschiedlichen Ebenen und in unter- schiedlichen Sektoren. Derartige Organisationen können als strategische Partner agieren und wesentlich dazu beitragen, dass die Datenschutzbehörden effektiver werden. Die Kooperation mit anderen geeigneten Interessenvertretern sollte daher gefördert oder aktiv entwickelt werden. IV. EINER NEUEN KOMMUNIKATIONSSTRATEGIE ENTGEGEN 27. Kommunikation ist eine Hauptvoraussetzung, um Datenschutz effektiver zu ma- chen. Eine Botschaft, die nicht ankommt und nicht verstanden wird, ist im Grunde genommen nicht existent. Eine Meinung oder Entscheidung, auf die sich nicht zugreifen lässt, ist in ihrer Wirkung begrenzt und möglicherweise nicht die auf ihre Ausarbeitung verwendete Mühe wert. A. Wir müssen dringend eine neue Kommunikationsstrategie entwickeln, sowohl auf nationaler als auch auf internationaler Ebene 28. Kommunikation als Ziel. Eine sehr viel bessere Kommunikation mit der Öffent- lichkeit muss eines der Hauptziele aller Datenschutzbehörden sein. Es ist inakzep- tabel, dass in einigen Ländern, in denen das Recht auf Datenschutz – ebenso wie die Bewegungs- und Pressefreiheit - zu den Grundrechten gehört, die große Mehr- heit unserer Mitbürger sich dieser Rechte und ihrer Bedeutung nicht bewusst ist. Noch viel weniger akzeptabel ist dies, wenn eine negative Einstellung gegenüber dem Datenschutz herrscht. 29. Wir müssen wirkungsvolle Kampagnen zur langfristigen Bewusstseinssteigerung ins Leben rufen, die den Einzelnen über die Existenz und den Inhalt seiner Rechte informieren. Die Wirksamkeit dieser Maßnahmen muss gemessen werden. Dabei gibt es zwei spezifi sche Ziele: • Gewählte Vertreter auf landesweiter und kommunaler Ebene – die meisten von ihnen sind nicht besser informiert als der Durchschnittsbürger. • Junge Menschen, die wenig Interesse an diesen Fragen haben, da sie so sehr an neue Technologien gewohnt sind. Wir müssen so bald wie möglich im Be- reich der Bildung und Aufklärung aktiv werden.
115 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 30. Kommunikation als wirkungsvolles Hebelwerkzeug. Es ist wichtig und dring- lich, dass unsere Datenschutzbehörden bessere Handlungsmittel erhalten und Anerkennung auf internationaler Ebene zugesichert bekommen. Öffentliches Ver- trauen und Unterstützung sind unerlässlich. Datenschutz muss konkreter gemacht werden. Nur Organisationen, die kommunizieren – normalerweise über die Medien und auf eine Art und Weise, die für die Öffentlichkeit insgesamt bedeutungsvoll, zugänglich und relevant ist – werden die Macht erhalten, die erforderlich ist, um die öffentliche Meinung zu beeinfl ussen, und somit von den Staaten und der in- ternationalen Gemeinde gehört und ernst genommen zu werden. Nur wenn diese Bedingung erfüllt wird, können die Datenschutzbehörden unverzichtbare Hand- lungsmittel erhalten. 31. Das bedeutet, dass wir in allen unseren Behörden professionelle Kommunikations- partner einsetzen, und dass die vermittelten Botschaften in allen Datenschutzbe- hörden möglichst einheitlich sind. B. Eine interessante Kommunikationsbotschaft könnte im Aufzeigen einer Parallele zwischen dem Schutz der persönlichen Freiheiten und dem Schutz der Umwelt liegen 32. Was die Umwelt anbelangt, so werden wir nicht ungestraft davonkommen. Auf die gleiche Weise müssen wir im Bereich des Datenschutzes bei jeder unkontrollierten technologischen Entwicklung und jedem Gesetz, das ohne klare Vision der poten- ziellen Risiken erlassen wird, höchste Vorsicht walten lassen. In einem solchen Fall besteht die Gefahr, dass unser „Kapital“ in Form von Freiheit und Identität reduziert oder sogar zunichte gemacht wird. Auch kann es nicht wiedergewonnen werden, und zwar genau deshalb, weil technologische Innovation irreversibel ist. 33. Möglicherweise sind Datenschutz und der Schutz der Privatsphäre genauso kost- bar wie die Luft, die wir atmen. Beide sind unsichtbar, aber ihr Verlust ist gleicher- maßen mit katastrophalen Folgen verbunden. V. PROGRAMM ANSCHLIESSENDER AKTIVITÄTEN 34. Die Besprechung dieser Initiative bei der geschlossenen Sitzung der Internationa- len Konferenz der Datenschutzbeauftragten in London sollte als erster Schritt in Richtung eines wachsenden Konsenses gesehen werden – eines Konsenses über die Notwendigkeit zur Ausarbeitung von Mitteln für bessere Kommunikation und effektiveren Datenschutz.
116 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 35. Datenschutzbehörden, die diese Initiative unterstützen, verpfl ichten sich zur Wei- terentwicklung von und übernehmen ggf. die Verantwortung für eine Reihe von Ak- tivitäten, die bei der nächsten Konferenz in Montreal vorgestellt und weiter verfolgt werden, z. B.: • Workshop zu strategischen Themen: Bedingungen, um Datenschutzbehörden effektiver zu machen; mögliche Entwicklung von „Prinzipien einer gutenÜber- wachung“ beim Datenschutz; Informationen zu Best Practice (Datenschutz- beauftragte und strategische Mitarbeiter); Überlegungen hinsichtlich der Ent- wicklung einer internationalen Konvention • Workshop zum Thema Kommunikation: Verfügbares Expertenwissen im Be- reich der Datenschutzkommunikation (z. B. Kampagnen, Meinungsforschung); Entwicklung einer gemeinsamen Botschaft und wirksamer Hilfsmittel für de- ren Verbreitung (professionelle Kommunikationspartner) • Workshop zum Thema Durchsetzung: Verfügbares Expertenwissen im Bereich Überwachung und Gewährleistung der Vorschriftenbefolgung; wirksame Me- chanismen zur Inspektion (z. B. Audits) und Intervention (Datenschutzbeauf- tragte und Personal von Durchsetzungsbehörden) • Workshop zur internen Organisation: Jüngste Erfahrungen mit organisato- rischen Veränderungen; Projekte zur Verbesserung von Effi zienz und Effektivi- tät (Datenschutzbeauftragte und organisatorisches Personal) • Alle sonstigen Aktivitäten, die für diese Initiative als relevant erachtet werden
117 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 4.5 Entschliessung betreffend die praktischen Organisationsmodalitäten der Konferenz Siehe Abschnitt 4.5 im französischen Teil des Berichtes 4.6 Resolution zum Datenschutz bei Suchmachinen 1 673.18.2 (Übersetzung aus dem englischen, 27. Oktober 2006) 28. Internationale Konferenz der Datenschutzbeauftragten London, Vereinigtes Königreich 2. und 3. November 2006 Vorgeschlagen von: Berliner Beauftragter für Datenschutz und Informa- tionsfreiheit, Deutschland Unterstützer: Deutschland (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit), Irland (Datenschutzbeauftragter), Nor- wegen (Datatilsynet), Polen (Generaldirektor für den Schutz personen- bezogener Daten) Resolution 2 Heutzutage sind Suchmaschinen zum Schlüssel zum „cyberspace“ geworden, um in der Lage zu sein, Informationen im Internet aufzufi nden, und damit ein unverzicht- bares Werkzeug. 1 Diese Resolution bezieht sich nicht auf Suchfunktionen, die von Inhalteanbietern für ihre eigenen Angebote angeboten werden. Für den Zweck dieser Resolution wird „Suchmaschine“ defi niert als ein Service zum Auffi nden von Ressourcen im Internet über verschiedene Websites hinweg und basierend auf nutzerdefi nierten Suchbegriffen. 2 Diese Resolution betrifft nicht Probleme, die durch die Praxis vieler Betreiber von Suchmaschinen aufgeworfen werden, Kopien des Inhalts von Internetseiten einschließlich darauf enthaltener personenbezogener Daten, die dort legal oder illegal veröffentlicht werden, zu speichern und zu veröffentlichen („caching“).
118 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Anbieter von Suchmaschinen haben die Möglichkeit, detaillierte Interessenprofi le ih- rer Nutzer aufzuzeichnen. IP-Protokolldaten, besonders wenn sie mit den entspre- chenden Daten kombiniert werden, die bei Zugangsdiensteanbietern gespeichert sind, erlauben die Identifi kation von Nutzern. Da die Nutzung von Suchmaschinen heutzutage unter den Internet-Nutzern eine gängige Praxis ist, erlauben die bei den Anbietern populärer Suchmaschinen gespeicherten Verkehrsdaten, ein detailliertes Profi l von Interessen, Ansichten und Aktivitäten über verschiedene Sektoren hinweg zu erstellen (z. B. Berufsleben, Freizeit, aber auch über besonders sensible Daten, z. B. politische Ansichten, religiöse Bekenntnisse, oder sogar sexuelle Präferenzen). Die Datenschutzbeauftragten sind bereits in der Vergangenheit hinsichtlich der Mög- lichkeit zur Erstellung von Profi len über Bürger besorgt gewesen 3 Die im Internet ver- fügbare Technologie macht diese Praxis jetzt in einem gewissen Umfang auf globaler Ebene technisch möglich. Jüngste Entwicklungen haben noch einmal ein Schlaglicht auf die wachsende Bedeu- tung der gesammelten Daten geworfen, sowie auf ihre Eigenschaft als personenbe- zogene oder zumindest personenbeziehbare Daten: Im Frühjahr 2006 forderte das Justizministerium der Vereinigten Staaten von Amerika von Google, Inc. die Heraus- gabe von Millionen von Suchanfragen für ein Gerichtsverfahren, das unter anderem den Schutz vor der Verbreitung von kinderpornographischen Inhalten im Internet zum Gegenstand hatte. Google weigerte sich, dieser Aufforderung nachzukommen und ge- wann letztendlich das Verfahren. Im weiteren Verlauf desselben Jahres publizierte AOL eine Liste von beinahe 20 Millionen scheinbar anonymisierten Suchanfragen, die un- gefähr 650.000 AOL-Nutzer über einen Zeitraum von drei Monaten in die AOL-Suchma- schine eingegeben hatten. Laut Presseberichten konnten daraus einzelne Nutzer auf der Basis des Inhalts ihrer Suchanfragen identifi ziert werden. Diese Liste war – obwohl sie von AOL nach harscher Kritik, die ihre Veröffentlichung unmittelbar zur Folge hatte, zurückgezogen wurde – zum Zeitpunkt des Zurückziehens Berichten zufolge bereits vielfach heruntergeladen und neu publiziert, und in suchbarer Form auf einer Anzahl von Websites verfügbar gemacht worden. Es muss darauf hingewiesen werden, dass nicht nur Verkehrsdaten personenbezo- gene Informationen darstellen können, sondern auch der Inhalt von Suchanfragen. 3 Vgl. z. B. den gemeinsamen Standpunkt zu Datenschutz und Suchmaschinen (zuerst verabschiedet auf der 23. Sitzung in Hongkong SAR, China ,15. April 1998, überarbeitet und aktualisiert bei der 39. Sitzung, 6. – 7. April 2006, Washington D. C.) der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation; http://www.datenschutzberlin.de/doc/int/iwgdpt/search_engines_de.pdf. Vgl. ebenfalls Kapitel 5: „Surfen und Suchen“ des Arbeitsdokuments der Artikel-29-Gruppe „Privatsphäre im Internet“ – ein integrierter EU-Ansatz zum Online-Datenschutz“; http://ec.europa. eu/justice_home/fsj/privacy/docs/wpddocs/2000/wp37de.pdf.
119 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Diese Entwicklung unterstreicht, dass Daten über zurückliegende Suchvorgänge, die von Anbietern von Suchmaschinen gespeichert werden, bereits jetzt in vielen Fällen personenbezogene Daten darstellen. Insbesondere in Fällen, in denen Anbieter von Suchmaschinen gleichzeitig auch andere Dienste anbieten, die zur einer Identifi kation des Einzelnen führen (z. B. E-Mail), können Verkehrsund Inhaltsdaten über Suchanfra- gen mit anderen personenbezogenen Informationen kombiniert werden, gewonnen aus diesen anderen Diensten innerhalb derselben Sitzung (z. B. auf der Basis des Vergleichs von IP-Adressen). Der Prozentsatz von Daten über Suchanfragen, die auf Einzelpersonen zurückgeführt werden können, wird vermutlich in der Zukunft weiter ansteigen wegen der Zunahme der Nutzung fester IP-Nummern in Hochgeschwindig- keits-DSL oder anderen Breitbandverbindungen, bei denen die Computer der Nutzer ständig mit dem Netz verbunden sind. Er wird noch weiter ansteigen, sobald die Ein- führung von Ipv6 abgeschlossen ist. Dies und die zunehmende Bedeutung von Suchmaschinen für das Auffi nden von Infor- mationen im Internet führt zunehmend zu erheblichen Gefährdungen der Privatsphäre der Nutzer von Suchmaschinen. Empfehlungen Die Internationale Konferenz fordert die Anbieter von Suchmaschinen auf, die grund- legenden Regeln des Datenschutzes zu respektieren, wie sie in der nationalen Gesetz- gebung vieler Länder sowie auch in internationalen Politikdokumenten und Verträgen (z. B. den OECD-Richtlinien zum Datenschutz, der Konvention 108 des Europarates, dem APEC Regelungsrahmen zum Datenschutz, und den Datenschutzrichtlinien der Europäischen Union) niedergelegt sind:
120 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 3. In jedem Fall kommt der Datenminimierung eine zentrale Bedeutung zu. Eine sol- che Praxis würde sich auch zugunsten der Anbieter von Suchmaschinen auswir- ken, die sich zunehmend Forderungen nach der Herausgabe nutzerspezifi scher Informationen durch Dritte ausgesetzt sehen. 4
4 Für den Zweck dieser Erklärung bedeutet „Dritter“ jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle außer der betroffenen Person, dem für die Verarbeitung Verantwortliche, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsdatenverarbeiters befugt sind, die Daten zu verarbeiten.
121 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 4.7 Empfehlung an das Bundestrafgericht: „Bericht zu den Vorwürfen betreffend die geringe Anzahl der von der Bundesanwaltschaft erhobenen Anklagen“ Bern, den 22. September 2006 Empfehlung gemäss Art. 14 des Bundesgesetzes über das Öffentlichkeitsprinzip der Verwaltung vom 17. Dezember 2004 zum Schlichtungsantrag von X (Antragstellerin) gegen Schweizerisches Bundesstrafgericht, Bellinzona
122 14. Tätigkeitsbericht 2006/ 2007 des EDÖB I. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest:
123 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 6. Am 17. August 2006 informiert der Beauftragte das Bundesstrafgericht über den Schlichtungsantrag und fordert von ihm die Zustellung des „Berichts zu den Vor- würfen betreffend die geringe Anzahl der von Bundesanwaltschaft erhobenen Anklagen“ und eine schriftliche Begründung, weshalb das Bundesstrafgericht der Gesuchstellerin den Zugang zum Bericht verweigert hat. 7. Mit Schreiben vom 21. August 2006 teilt das Bundesstrafgericht dem Beauftragten Folgendes mit: • Das Bundesstrafgericht vertritt die Ansicht, dass der Bericht keinen adminis- trativen Charakter aufweist („questo rapporto non sia di carattere amministra- tivo“) und somit das Öffentlichkeitsgesetz nicht anwendbar ist. • Das Reglement vom 20. Juni 2006 des Bundesstrafgerichts (Inkrafttreten am
124 14. Tätigkeitsbericht 2006/ 2007 des EDÖB II. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte zieht in Erwägung: A. Schlichtungsverfahren gemäss Art. 14 BGÖ
125 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 5. In Fällen, in denen nicht bereits von Beginn weg zweifelsfrei feststeht, dass das Öffentlichkeitsprinzip nicht zur Anwendung gelangt, tritt der Beauftragte auf jeden form- und fristgerecht eingereichten Schlichtungsantrag ein und prüft, ob die Be- arbeitung des Zugangsgesuchs durch die Behörde angemessen und rechtmässig erfolgt ist (Art. 12 der Verordnung über das Öffentlichkeitsprinzip der Verwaltung VBGÖ, SR 152.31). 6. Die Konzeption des Öffentlichkeitsgesetzes sieht vor, dass das Schlichtungsverfah- ren zwingend durchlaufen werden muss, bevor eine Person, welcher der Zugang verweigert worden ist, von der zuständigen Behörde eine Verfügung erwirken und diese in der Folge vor einer gerichtlichen Instanz anfechten kann. Tritt der Beauf- tragte in Fällen, in denen streitig ist, ob das Öffentlichkeitsgesetz überhaupt zur Anwendung gelangt, nicht auf einen Schlichtungsantrag ein, so verweigert er der antragstellenden Person die Ausübung der ihr nach Öffentlichkeitsgesetz zuste- henden Rechte (insbes. Art. 15f. BGÖ) und damit letztlich auch das rechtliche Gehör (Art. 29 Abs. 2 BV). B. Anwendung des Öffentlichkeitsprinzips durch das Bundesstrafgericht
126 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Das Öffentlichkeitsgesetz fi ndet auf die Bundesstrafgerichte sinngemäss Anwendung. So hat der Gesetzgeber entschieden, dass die Verwaltungstätigkeit der Bundesge- richte (Justizverwaltung) ebenfalls dem Öffentlichkeitsprinzip unterstellt ist. Ausge- nommen bleiben davon aber amtliche Dokumente, welche die Rechtsprechung be- treffen. Aufgrund der besonderen Stellung der Bundesgerichte hat der Gesetzgeber in Bezug auf das Schlichtungsverfahren eine Ausschlussmöglichkeit und in Bezug auf Streitfälle eine vom Öffentlichkeitsgesetz abweichende Regelung vorgesehen. Mit Inkrafttreten der neuen Bundesrechtspfl egegesetze auf den 1. Januar 2007 wird die Bestimmung erneut eine Anpassung erfahren. Künftig ist das Bundesgericht Be- schwerdeorgan für Verfügungen des Bundesstrafgerichts. Konsequenterweise entfällt damit der erste Satz des aktuellen Absatzes 2. Im Übrigen erfährt der Wortlaut der Bestimmung keine Änderung. C. Administrative Aufgabenerfüllung
127 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Für den Beauftragten weist die Bezeichnung „Bericht“ sowie der Titel als Ganzes darauf hin, dass sich der Inhalt des Dokuments nicht in erster Linie auf einzelne Gerichtsverfahren bezieht, sondern sich grundsätzlich mit der Tätigkeit der Bun- desanwaltschaft im Zusammenhang mit den von ihr erhobenen Anklagen ausein- andersetzt. Denkbar ist, dass der Bericht auch Informationen und Ausführungen enthält, die nicht in einem direkten Zusammenhang mit gerichtlichen Verfahren stehen. 5. Alleine der Systematik des Strafgerichtsgesetzes folgend muss festgehalten wer- den, dass Art. 28 nicht in den Bereich der Organisation und Verwaltung des Ge- richts (Art. 13 – 25 SGG), sondern ins Kapitel „Zuständigkeiten und Verfahren“ fällt und somit in einen Bereich, der die Rechtsprechung durch das Gericht regelt. Selbst wenn die Beschwerdekammer als Rechtsprechungsbehörde den Bericht verfasst hat, bedeutet dies nicht, dass alle der von ihr erstellten Dokumente nie dem Öffentlichkeitsprinzip unterliegen. Bei der Beantwortung der Frage der Zu- gänglichkeit muss einzig darauf abgestellt werden, ob ein Dokument, welches das Gericht verfasst hat, im Einzelfall administrativer oder gerichtlicher Natur ist. 6. Ebenso wenig ist die Tatsache ausschlaggebend, dass das Bundesstrafgericht den besagten Bericht als (gesetzliches) Aufsichtsorgan über die Bundesanwaltschaft erstellt hat. Vielmehr sind zwei Anwendungsfälle von Aufsichtstätigkeiten ausein- ander zu halten: Einerseits die Aufsicht des Gerichts über die Verwaltung einer bestimmten Institution und anderseits die Aufsichtstätigkeit des Gerichts in den Belangen der Rechtsprechung. 7. In den auf den 1. Januar 2007 in Kraft tretenden Gesetzen zu den neuen Bundesge- richten (Totalrevision der Bundesrechtspfl ege, BBl 2001 4202) fi nden sich auch zwei Bestimmungen, die sich mit der Anwendung des Öffentlichkeitsprinzips im Bereich der Aufsichtstätigkeit des Bundesgerichts 1 und des Bundesverwaltungsgerichts 2
befassen. So sieht Art. 28 des künftigen Bundesgerichtsgesetzes (BGG) vor, dass das Öffent- lichkeitsprinzip zur Anwendung gelangt, soweit das Gericht administrative Aufga- ben oder Aufgaben im Zusammenhang mit der Aufsicht über das Bundesverwal- tungsgericht und das Bundesstrafgericht erfüllt. 1 Art. 28 des Bundesgesetzes vom 17. Juni 2005 über das Bundesgericht (Bundesgerichtsgesetz, BGG), BBl 2005 4045 2 Art. 30 des Bundesgesetzes vom 17. Juni 2005 über das Bundesverwaltungsgericht (Verwaltungsgerichtsgesetz, VGG), BBl 2005 4093
128 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Die in Art. 28 BGG angesprochene Aufsicht des Bundesgerichts meint also nicht die gerichtliche Aufsicht im Einzelfall, sondern die allgemeine Aufsichtstätigkeit administrativer Natur über die anderen Gerichte. 8. Der Beauftragte gelangt zum Schluss, dass für jeden konkreten Einzelfall neu ge- klärt werden muss, welcher Natur die Aufsichtstätigkeit, die das Gericht ausübt, ist. Erst nach dieser Bewertung kann beurteilt werden, ob das in Frage stehende Dokument dem Öffentlichkeitsprinzip untersteht. Ausschlaggebend ist letztlich das materielle Kriterium, ob das Gericht im Rahmen der Aufgabenerfüllung eine administrative Tätigkeit ausübt. Unerheblich bleibt da- bei, von wem innerhalb des Gerichts diese Tätigkeit ausgeübt wird. Es kann sich dabei um Sekretariatspersonal, Gerichtsschreiber oder sogar, wie im vorliegenden Fall, um die Beschwerdekammer handeln. 9. Um diese Prüfung im Einzelfall vornehmen zu können, hat der Beauftragte beim Bundesstrafgericht das Einsichtsrecht nach Art. 20 BGÖ geltend gemacht. Das Ge- richt ist dieser Aufforderung nicht nachgekommen. Der Beauftragte hatte somit keine Möglichkeit, den Bericht einzusehen und zu prüfen, ob der im Rahmen der Aufsichtstätigkeit erstellte Bericht administrativer Natur ist und damit dem Öffent- lichkeitsprinzip unterliegt. Deshalb muss auch die Frage, ob der Bericht adminis- trativer Natur ist, offen bleiben. 10. Ebenfalls offen muss die Frage bleiben, ob der Bericht ein Evaluationsdokument im Sinne von Art. 8 Abs. 5 BGÖ darstellt. Diese Bestimmung garantiert einen absoluten Zugang zu Berichten über die Evaluation der Leistungsfähigkeit der Bundesver- waltung (BBl 2003 2015). Art. 8 Abs. 5 BGÖ gilt analog auch für Evaluationen der Leistungsfähigkeit des Bundesstrafgerichts, soweit sie dessen Verwaltungstätig- keit betreffen. Explizit führt der Bundesrat in seiner Botschaft zum Öffentlichkeits- gesetz denn auch aus, dass Evaluationen administrativer Belange der Bundesge- richte dem Öffentlichkeitsprinzip unterstehen (BBl 2003 1985). 11. Der Beauftragte bedauert, dass er diese beiden Fragen nicht eingehender klä- ren konnte. Das Öffentlichkeitsgesetz gesteht dem Beauftragten im Rahmen des Schlichtungsverfahrens umfassende Auskunfts- und Einsichtsrechte zu. „Eine Behörde ist verpfl ichtet, dem Beauftragten alle erforderlichen Dokumente zur Verfügung zu stellen; sie kann sich dieser Verpfl ichtung nicht unter Berufung auf die Vertraulichkeit oder die geheime Natur der Informationen entziehen“ (Erläute- rungen zur VBGÖ). Folgerichtig unterstehen der Beauftragte und sein Sekretariat dem Amtsgeheimnis im gleichen Ausmass wie die Behörden, in deren amtliche Dokumente sie Einsicht nehmen oder die ihnen Auskunft erteilen (Art. 20 BGÖ).
129 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Der Gesetzgeber hat mit dem Erlass des Öffentlichkeitsgesetzes seinen klaren Wil- len zum Ausdruck gebracht, dass die Bürgerin und der Bürger Zugang zu amtlichen Dokumenten erhalten sollen. Als eine Art Verbindungs- und Vermittlungsstelle hat er dem Beauftragten eine wichtige Funktion mit entsprechenden Kompetenzen übertragen und ihm damit eine fundamentale Rolle im Verfahren um den Zugang zu Dokumenten zugesprochen (BBl 2003 2029). Der Beauftragte kann diese Auf- gabe nicht wahrnehmen, wenn ihm – trotz klarer Gesetzgebung betreffend seiner Einsichts- und Auskunftsrechte (Art. 20 BGÖ) – keine Einsicht in besagte Dokumen- te gewährt wird. Verweigern die dem Öffentlichkeitsprinzip unterliegenden Bun- desbehörden und Bundesgerichte dem Beauftragten sein Einsichtsrecht, so bleibt letztlich das Öffentlichkeitsgesetz toter Buchstabe. D. Durchführung des Schlichtungsverfahrens
130 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Es gilt festzuhalten, dass das neue, auf den 1. Januar 2007 in Kraft tretende Re- glement für das Bundesstrafgericht von der Durchführung eines Schlichtungs- verfahrens absieht. Für die Beurteilung des vorliegenden Falles ist das künftige Reglement unbeachtlich, denn „noch nicht in Kraft stehendes Recht vermag nicht die Grundlage für ein staatliches Handeln abzugeben“ (BGE 89 I 472). Eine Vorwir- kung von werdendem Recht ist einzig dann möglich und zulässig, wenn besondere gesetzliche Vorschriften diese Möglichkeit explizit einräumen. Letzteres ist vorlie- gend nicht der Fall. 3. Einziger Anknüpfungspunkt für die Beurteilung der Frage, ob ein Schlichtungsver- fahren durchgeführt wird, bleibt damit der Entscheid des Bundesstrafgerichts, als Übergangsregelung Art. 18 des Archivierungsreglements analog anzuwenden. Di- ese Bestimmung besagt, dass ein Entscheid des Generalsekretärs oder der Gene- ralsekretärin über die Abweisung oder die Beschränkung der Akteneinsicht innert 30 Tagen seit der Eröffnung bei der Gerichtsleitung angefochten werden kann. 4. Das Bundesstrafgericht vertritt die Ansicht, dass mit Entscheid der analogen An- wendung von Art. 18 des Archivierungsreglements grundsätzlich auch das Schlich- tungsverfahren durch den Beauftragten ausgeschlossen worden ist. 5. Dieser Haltung kann der Beauftragte aus folgenden Gründen nicht folgen: • Mit dem Entscheid, das Archivierungsreglement in der Übergangsphase bis Ende 2006 anzuwenden, ist das Bundesstrafgericht lediglich der Forderung von Art. 25a SGG nachgekommen und hat das zuständige Beschwerdeorgan festgelegt. • Zum Ausschluss des Schlichtungsverfahrens äussert sich das Bundesstrafge- richt nicht explizit. Das Archivierungsreglement selber enthält keine Ausfüh- rungen über Schlichtungsverfahren. • Das Schlichtungsverfahren und das sich daran anschliessende Verfahren zum Erlass einer Verfügung bilden keine Einheit, sondern sind in der Konzeption de s Öffentlichkeitsgesetzes zwei eigenständige Verfahrensabschnitte (BBl 2003 2018). • Nach Art. 25a SGG kann das Bundesstrafgericht vorsehen, dass kein Schlich- tungsver fahren durchgeführt werden soll. Dabei handelt es sich um eine Kann-Bestimmung. Macht das Bundesstrafgericht von dieser Möglichkeit aus- drücklich keinen Gebrauch, hat dies zur Folge, dass das im Öffentlichkeitsge- setz vorgesehene Schlichtungsverfahren zur Anwendung gelangt.
131 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Gestützt auf die vorausgegangenen Ausführungen kommt der Beauftragte zum Schluss, dass das Bundesstrafgericht das Schlichtungsverfahren nicht ausdrück- lich ausgeschlossen hat. Der Beauftragte erachtet sich als zuständig, in der vorlie- genden Angelegenheit das Schlichtungsverfahren durchzuführen. 6. Hinzu kommt, dass die Verfahrensvorschriften, die in der Übergangsphase im Falle eines abgelehnten Zugangsgesuchs zur Anwendung gelangen, nicht in dem da- für erfo rderlichen Erlass (Reglement für das Bundesstrafgericht) ergangen sind. Überdies hätte dieses Reglement entsprechend den klaren Vorgaben des Bundes- gesetzes über die Sammlungen des Bundesrechts und das Bundesblatt (PublG, SR 170.512) in der Amtlichen Sammlung des Bundesrechts veröffentlicht werden müssen, damit es überhaupt seine Rechtswirkungen entfalten kann. Diese Krite- rien sind nach Ansicht des Beauftragten durch das Bundesstrafgericht nicht einge- halten worden. Zudem is t es für den Beauftragten nicht nachvollziehbar, weshalb das Bundes- strafgericht nicht rechtzeitig sein geltendes Reglement angepasst hat, zumal es kurz (d.h. 10 Tage) vor Inkrafttreten des Öffentlichkeitsgesetzes sein künftiges (auf den 1. Januar 2007 in Kraft tretendes) Reglement erlassen und darin eine entspre- chende Bestimmung zum „Öffentlichkeitsprinzip in Bezug auf die Justizverwal- tung“ (Art. 18) vorgesehen hat. E. Schriftlichkeit des Zugangsgesuchs
132 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 3. Das Bundesstrafgericht muss das Öffentlichkeitsgesetz sinngemäss anwenden. In welchen Bereichen es notwendige Anpassungen vornehmen darf, hat der Gesetz- geber in Art. 25a SGG normiert. Die Forderung, dass ein Zugangsgesuch in schrift- licher Form eingereicht werden muss, gehört nicht dazu und stellt eine zusätzliche Zugangsvoraussetzung dar, die das Öffentlichkeitsgesetz so nicht vorgesehen hat. 4. Der Beauftragte ist der Ansicht, dass die Forderung nach einer schriftlichen Ge- sucheinreichung einen Verstoss gegen das Öffentlichkeitsgesetzes darstellt. 5. Überdies darf nicht ausser Acht gelassen werden, dass die Antragstellerin ihr Zu- gangsgesuch zuerst per E-Mail beim Bundesstrafgericht eingereicht hat. Die E-Mail wurde an das für die Gesuchseinreichung zuständige Generalsekretariat gesandt (analoge Anwendung von Art. 15 Archivierungsreglement). Selbst wenn man den Überlegungen des Bundesstrafgerichts folgt und das Archi- vierungsreglement analog anwendet, darf das Bundesstrafgericht an die Schrift- lichkeit eines Gesuchs keine über das Öffentlichkeitsgesetz hinausgehenden An- sprüche stellen. Das Öffentlichkeitsgesetz anerkennt, dass Zugangsgesuche auch per E-Mail eingereicht werden können. Demnach hätte das Bundesstrafgericht die E-Mail der Antragstellerin als schriftliches Gesuch entgegennehmen und im Falle der Verweigerung des Zugangs eine Verfügung erlassen müssen. F. Schlussfolgerungen Gestützt auf die vorangegangenen Ausführungen ergeben sich für den Beauftragten folgende Schlussfolgerungen:
133 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 5. Obwohl aufgrund des verweigerten Einsichtsrechts keine abschliessende, mate- rielle Beurteilung des Schlichtungsgesuchs durchgeführt werden konnte, gelangt der Beauftragte zum Schluss, dass das Bundesstrafgericht der Antragstellerin die Einsicht in den „Bericht zu den Vorwürfen betreffend die geringe Anzahl der von der Bundesanwaltschaft erhobenen Anklagen“ verweigert hat, indem es weder auf ihr schriftliches noch auf ihr mündliches Zugangsgesuch eingetreten ist. Bei analoger Anwendung der Archivierungsverordnung hätte das Bundesstrafgericht eine Verfügung zuhanden der Antragstellerin erlassen müssen, um dieser zumin- dest die Möglichkeit einzuräumen, den Rechtsweg zu beschreiten. III. Aufgrund dieser Erwägungen empfi ehlt der Datenschutz- und Öffent- lichkeitsbeauftragte:
134 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 3. Veröffentlichung des Ausschlusses eines Schlichtungsverfahrens und des Be- schwerdeorgans Das Bundesstrafgericht veröffentlicht in einer allgemein zugänglichen Form (z.B. im Internet) den Entscheid, welche Verfahrensvorschriften betreffend die Beurtei- lung von Zugangsgesuchen nach dem Öffentlichkeitsgesetz in der Übergangspha- se bis zum 31. Dezember 2006 gelten. Der Entscheid beantwortet die Frage nach dem Beschwerdeorgan im Sinne von Art. 25a SGG und nach der Durchführung eines externen Schlichtungsverfahrens. 4. Mündlich eingereichte Zugangsgesuche Behält das Bundesstrafgericht in der Übergangsphase den Ausschluss des Schlich- tun gsverfahrens bei, so erlässt es auch bei einem mündlich eingereichten Zu- gangsgesuch zu amtlichen Dokumenten eine Verfügung, sofern es den Zugang aufschieben, beschränken oder verweigern will. 5. Anpassung des Reglements vom 20. Juni 2006 für das Bundesstrafgericht Das Bundesstrafgericht sieht davon ab, nur auf schriftlich eingereichte Zugangs- gesuche eine Verfügung zu erlassen, und passt sein auf den 1. Januar 2007 in Kraft tretendes Reglement entsprechend an. 6. Veröffentlichung der Empfehlung Diese Empfehlung wird veröffentlicht (Art. 13 Abs. 3 VBGÖ). Zum Schutz der Perso- nendaten der am Schlichtungsverfahren Beteiligten wird der Name der Antragstel- lerin anonymisiert. Jean-Philippe Walter Kopie an: X
135 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 4.8 Empfehlung an das Bundesamt für Verkehr: „Jahresberichte der Seilbahnbetreiber“ Bern, den 27. November 2006 Empfehlung gemäss Art. 14 des Bundesgesetzes über das Öffentlichkeitsprinzip der Verwaltung vom 17. Dezember 2004 zum Schlichtungsantrag von X (Antragsteller) gegen Bundesamt für Verkehr (BAV), Bern
136 14. Tätigkeitsbericht 2006/ 2007 des EDÖB I. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest:
137 14. Tätigkeitsbericht 2006/ 2007 des EDÖB Im gleichen Schreiben versichert das BAV, dass bei den Neuanlagen und den zugehörigen Akten der Plangenehmigungsverfahren „zurzeit keine Meldungen vor(liegen), dass man auf Permafrost stossen könnte oder bei Sondierungen ges- tossen wäre.“ Bei den bestehenden Anlagen gebe es „aus diesem Jahr (...) keine Meldungen und Hinweise bezüglich Permafrost.“ II. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte zieht in Erwägung: A. Schlichtungsverfahren gemäss Art. 14 BGÖ
138 14. Tätigkeitsbericht 2006/ 2007 des EDÖB B. Zeitlicher Geltungsbereich des Öffentlichkeitsgesetzes
139 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 2. Der Schutz von Personendaten als Aspekt des verfassungsmässig garantierten Persönlichkeitsschutzes (Art. 13 Abs. 2 BV) geht dem Recht auf Zugang zu amt- lichen Dokumenten grundsätzlich vor (BBl 2003 2016). Konsequenterweise hat der Gesetzgeber daher in Art. 9 BGÖ festgelegt, dass amtliche Dokumente, welche Personendaten Dritter enthalten, vor der Einsichtnahme grundsätzlich anonymi- siert werden müssen. Erweist sich dies als nicht möglich, so kann der Zugang nur ge währt werden, wenn die Zustimmung der betroffenen Drittperson eingeholt worden ist oder eine spezialgesetzliche Bestimmung die Bekanntgabe ihrer Per- sonendaten explizit vorsieht (Art. 9 Abs. 2 BGÖ in Verbindung mit Art. 19 des Bun- desgesetzes über den Datenschutz DSG; SR 235.1). Ist eine Anonymisierung nicht möglich und liegt weder eine Zustimmung der betroffenen Drittperson(en) noch eine entsprechende spezialgesetzliche Bekanntgabenorm vor, so muss der Zugang in der Regel verweigert werden. 3. Mit anderen Worten muss der Zugang zu amtlichen Dokumenten eingeschränkt, auf geschoben oder verweigert werden, wenn durch seine Gewährung die Pri- vatsphäre Dritter beeinträchtigt werden kann (Art. 7 Abs. 2, erster Satzteil BGÖ). Nur in Ausnahmefällen, d.h. wenn die öffentlichen Interessen den Schutz der Pri- vatsphäre Dritter überwiegen, dürfen amtliche Dokumenten, die Personendaten enthalten, zugänglich gemacht werden (Art. 7 Abs. 2, zweiter Satzteil BGÖ). Das öffentliche Interesse am Zugang kann namentlich überwiegen, wenn die Zugäng- lichmachung einem besonderen Informationsinteresse der Öffentlichkeit oder dem Schutz spezifi scher öffentlicher Interessen (z.B. Schutz der öffentlichen Ord- nung und Sicherheit oder der öffentlichen Gesundheit) dient (Art. 6 VBGÖ). Gelangt die Behörde im Rahmen der Gesuchsprüfung zur Überzeugung, dass im konkreten Fall das öffentliche Interesse am Zugang das Interesse der Betroffenen am Schutz der Privatsphäre überwiegt, so muss sie die Personen, die in ihrer Privatsphäre beeinträchtigt werden (vorliegend: Seilbahnbetreiber, beauftragte Unternehmen), über das Zugangsgesuch informieren, und ihnen die Möglichkeit zur Stellungnah- me einräumen (Art. 11 BGÖ). Sind die Betroffenen in der Folge mit dem Absicht der Behörde, den Zugang zu gewähren, nicht einverstanden, können sie ein Schlich- tungsverfahren einleiten (Art. 13 BGÖ). 4. Abschliessend sei noch darauf hingewiesen, dass der Antragsteller jederzeit ein neues Zugangsgesuch in der gleichen Sache einreichen kann. Ist das BAV dann im Besitz von Jahresberichten, in denen der Permafrost thematisiert wird, muss die Frage des Zugangs nach den vorangegangenen Ziffern 1 bis 3 geprüft werden.
140 14. Tätigkeitsbericht 2006/ 2007 des EDÖB III. Aufgrund dieser Erwägungen empfi ehlt der Datenschutz- und Öffentlichkeitsbeauftragte:
141 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 4.9 Empfehlung an das Eidgenössische Departement für auswärtige Angelegenheiten: „Früherkennung von Risiken im Visabereich“ Bern, den 27. November 2006 Empfehlung gemäss Art. 14 des Bundesgesetzes über das Öffentlichkeitsprinzip der Verwaltung vom 17. Dezember 2004 zum Schlichtungsantrag von X (Antragsteller) gegen Eidg. Departement für auswärtige Angelegenheiten (EDA), Bern
142 14. Tätigkeitsbericht 2006/ 2007 des EDÖB I. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest:
143 14. Tätigkeitsbericht 2006/ 2007 des EDÖB II. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte zieht in Erwägung: A. Schlichtungsverfahren gemäss Art. 14 BGÖ
144 14. Tätigkeitsbericht 2006/ 2007 des EDÖB B. Ausnahmefall nach Art. 7 BGÖ
145 14. Tätigkeitsbericht 2006/ 2007 des EDÖB der Behörde aufgrund des Vorliegens eines Ausnahmefalls von Art. 7 BGÖ dem Zu- gang entzogen bleiben soll, bereits früher zugänglich gemachte Informationen, so rechtfertigt sich eine Geheimhaltung in Bezug auf diese (Teil-)Informationen nicht. Daher sieht sich der Beauftragte frei, dieses Kriterium der Liste im Folgenden be- kannt zu geben. Die Aufl istung des EDA enthält u.a. auch die aktuelle Visastatistik (erteilte und ver- weigerte Visa nach schweizerischer Auslandvertretung). Diese Visastatistik kann auf Anfrage beim Bundesamt für Migration bezogen werden und ist in der Vergan- genheit bereits verschiedentlich zugänglich gemacht worden. Der Beauftragte kommt daher zum Schluss, dass der Zugang zur Visastatistik als solche nicht verweigert werden darf. 5. Art. 7 BGÖ hält jene Ausnahmefälle fest, in denen der Zugang zum Dokument ein- ges chränkt, aufgeschoben oder verweigert werden kann. Eine Ausnahme kann zum Schutz von öffentlichen (Abs. 1 Bst. a – f) oder privaten (Abs. 1 Bst. h und g, Abs. 2) Interessen geltend gemacht werden. Das EDA ist der Ansicht, dass die Ge- währung des Zugangs zu einer Beeinträchtigung der aussenpolitischen Interessen oder der internationalen Beziehungen der Schweiz führen würde. Enthält ein Dokument Informationen mit aussenpolitischem oder internationalem Bezug, so bedeutet dies nicht, dass das ganze Dokument oder die entsprechenden Informationen unbesehen und stets als Ausnahmefall von Art. 7 BGÖ zu betrach- ten sind. Vielmehr müssen die fraglichen Passagen „ein gewisses Gewicht“ 1 auf- weisen, um überhaupt eine reelle Beeinträchtigung der angerufenen Interessen hervorrufen zu können. Zudem müssen die entsprechenden Informationen geeignet sein, bei einer Be- kanntgabe die aussenpolitischen Interessen oder internationalen Beziehungen verletzen zu können. Für den Einzelfall bedeutet dies hingegen nicht, dass es in der Folge tatsächlich zu einer Verletzung der Beziehungen kommen muss. Die Verlet- zung muss jedoch zumindest „mit einer hohen Wahrscheinlichkeit eintreten, also nicht lediglich denkbar bzw. entfernt möglich sein.“ 2
1 Votum BR Blocher zu Art. 7, Amtliches Bulletin 2004 N 1962 2 Brunner, Interessenabwägung im Vordergrund, digma 4/2004, S. 163
146 14. Tätigkeitsbericht 2006/ 2007 des EDÖB 6. Das Verhältnismässigkeitsprinzip verlangt, dass die Behörde stets prüft, ob anstel- le einer vollumgänglichen Verweigerung allenfalls ein teilweiser 3 Zugang gewährt werden kann. Die Behörde muss dabei abklären, ob die sensiblen Teilbereiche des Dokuments abgedeckt, entfernt oder verschlüsselt werden können. Erst wenn di- ese Massnahmen dazu führen, dass die offenen Passagen des Dokuments keinen Sinn mehr ergeben, kann der Zugang (gänzlich) verweigert werden. Nachfolgend gilt es die Frage zu beurteilen, ob und in welchem Umfang das EDA allenfalls einen teilweisen Zugang zur Aufl istung hätte gewähren müssen. 7. Fünf der s echs Kriterien (Kriterien 1 – 4 und 6) weisen einen direkten oder indi- rekten Bezug zur Visastatistik auf respektive stehen in Zusammenhang mit der Visaerteilung. Anhand dieser Kriterien wird eine Einstufung der einzelnen schwei- zerischen Vertretungen, nicht aber einzelner Staaten vorgenommen. Weder die einzelnen Kriterien noch deren Einstufung beinhalten somit Aussagen oder Wer- tungen über andere Staaten. Den Kriterien erfüllen die in Ziffer 5 ausgeführten Anforderungen nicht, wonach bereits die Offenlegung zu einer erheblichen Beein- trächtigung der Beziehungen der Schweiz zum jeweiligen Land führen könnte. Der Beauftragte vertritt daher die Meinung, dass diese Kriterien nicht unter die Ausnahm e von Art. 7 Abs. Bst. d BGÖ fallen und damit eine Verweigerung des Zugangs hinsichtlich dieser Kriterien gegen das Öffentlichkeitsgesetz verstösst. 8. Lediglich ein Kriterium (Kriterium 5) basiert auf Einschätzungen und Beurteilungen der aktuellen Situation in jenen Staaten, in denen sich die Auslandvertretung befi ndet. Es ist nicht von der Hand zu weisen, dass diese Staaten ein Interesse an den schweizerischen Einschätzungen und Beurteilungen bekunden könnten. Der Beauftragte ist der Ansicht, dass die Zugänglichmachung dieses Kriteriums dazu führen kann, dass die betroffenen Länder darin ein offi zielles Werturteil der Schweiz betreffend die Situation in ihren Ländern sehen könnten. Nach Ansicht des Beauftragten besteht zumindest eine erhebliche Wahrscheinlichkeit, dass da- durch die Beziehung mit einem oder mehreren Staaten negativ belastet und in der Folge beeinträchtigt werden könnte. Nach Meinung des Beauftragten sind die Voraussetzungen nach Art. 7 Abs. 1 Bst. d BGÖ für jenes Kriterium (Kriterium 5) gegeben, das sich über die aktuelle Situation in anderen Staaten ausspricht. In diesem Punkt kann das EDA den Zugang zum fraglichen Dokument einschränken. Im Übrigen sollte die Aufl istung samt der Ein- stufung der einzelnen Vertretungen dem Antragsteller zugänglich gemacht wer- den. 3 Art. 7 Abs. 1 BGÖ spricht in diesem Zusammenhang von „einschränken“ oder „aufschieben“.
147 14. Tätigkeitsbericht 2006/ 2007 des EDÖB III. Aufgrund dieser Erwägungen empfi ehlt der Datenschutz- und Öffentlichkeitsbeauftragte: