kss_weiterzug_andasbundesverwaltungsgericht

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB Der Beauftragte

Feldeggweg 1, 3003 Bern Tel. 031 323 74 84, Fax 031 325 99 96 www.edoeb.admin.ch

Bern, den 10. Juni 2008

WEITERZUG gemäss Art. 29 Abs. 4 des Bundesgesetzes über den Datenschutz (DSG) vom 19. Juni 1992 in der Sache Schlussbericht und Empfehlung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 11. April 2006 betreffend die Erhebung biometrischer Daten beim Erwerb einer Dauerkarte in den Sport- und Freizeitan- lagen KSS Schaffhausen I. Begehren

Folgenden Begehren sei stattzugeben:

Die Empfehlungsadressatin sei auszufordern auf die zentrale Speicherung von biometri- schen Daten in Form von Templates der Fingerabdrücke zu verzichten und diese biomet- rischen Daten - auch diejenigen, welche bereits zentral erfasst wurden - auf einer Sicher- heitskarte (smartcard), welche in der Einflusssphäre und unter Kontrolle der betroffenen Person verbleibt, abzulegen. Damit soll die Verifizierung der Identität ausschliesslich auf diesem Sicherheitsmedium stattfinden (smartcard match on card), so dass die biometri- schen Daten zu keinem Zeitpunkt die gesicherte Umgebung des Mediums und die Kon- trolle der betroffenen Person verlassen.

2/16

II. Sachverhalt

1. Im Januar 2005 hat die KSS Sport- und Freizeitanlagen Schaffhausen (nachfolgend KSS genannt) ein neues Zugangskontrollsystem (biometrisches Erkennungssystem 1 für die biometrische Verifizierung 2 von Abonnenten) für den Hallenbad- und Wellnessbereich eingeführt. Dieses sieht vor, dass neben den Personalien auch biometrische Daten 3 in Form von Templates 4 des Fingerabdrucks 5 des Abonnenten erhoben und gespeichert werden. Bei jedem Eintritt in das Hallenbad- oder den Wellnessbereich muss der Kunde seine Dauerkarte sowie zusätzlich seinen Finger einsetzen, um das Drehkreuz am Ein- gang passieren zu können.

2. Ziel der KSS ist es, durch das neue Zugangskontrollsystem Missbräuche bei der Benut- zung persönlicher, nicht übertragbarer Dauerkarten einzudämmen. Nach einer halbjähri- gen Pilotphase wurde das neue System im Sommer 2005 definitiv eingeführt. Langfristig ist ein Ausbau des Systems für weitere Sport- und Freizeitangebote (wie Freibad im Sommer oder Eisbahn im Winter) geplant. Der EDÖB erfuhr von der durch die KSS vorgenommene Erhebung biometrischer Daten durch diverse Zeitungsberichte und Fragen seitens besorgter Bürger.

3. In diesem Rahmen hat der EDÖB bei den KSS zwischen Juni 2005 und April 2006 ge- mäss Art. 29 DSG eine umfassende Überprüfung im Hinblick auf die Einhaltung der Da- tenschutzbestimmungen bei der Bearbeitung biometrischer Daten vorgenommen.

4. Mit Schreiben vom 6. Juni 2005 hat der EDÖB die KSS schriftlich über die geplante Da- tenschutzkontrolle und Sachverhaltsabklärung vor Ort betreffend das neue Zugangskon- trollsystem informiert. Zusätzlich wurden vom EDÖB die Dokumentation des neue Sys- tems angefordert und um die Beantwortung eines beigelegten Fragenkataloges gebeten. (siehe Anhang 2 : Schreiben des EDÖB vom 6. Juni 2005 (Sachverhaltsabklärung) )

5. Mit Schreiben vom 29. Juni 2005 hat die KSS den Fragekatalog des EDÖB beantwortet und um Terminvorschläge gebeten. (siehe Anhang 3 : Schreiben der KSS vom 29. Juni

6. Mit Schreiben vom 4. August 2005 hat der EDÖB Terminvorschläge unterbreitet und um Nennung der an der Sachverhaltsabklärung anwesenden Personen gebeten. Zudem hat der EDÖB letzte Rückfragen gestellt. (siehe Anhang 4 : Schreiben des EDÖB vom 4. August 2005)

7. Mit Schreiben vom 19. August 2005 hat die KSS die letzten Rückfragen schriftlich be- antwortet und den Termin für die Sachverhaltsabklärung vor Ort auf den 21. September 2005 festgelegt. (siehe Anhang 5 : Schreiben der KSS vom 19. August 2005)

1 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 3 2 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 8 3 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 6 4 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 5 5 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 2

3/16

8. Am 25. August 2005 hat der EDÖB den Termin für die Sachverhaltsabklärung per E-Mail bestätigt. (siehe Anhang 6 : E-Mail des EDÖB vom 25. August 2005 (Bestätigung des Termins))

9. Mit Anruf vom 7. September 2005 hat die KSS mitgeteilt, dass die Sachverhaltsabklä- rung von Seiten der KSS auf unbestimmte Zeit verschoben werden musste. (siehe Anhang 7 : Anruf der KSS vom 7. September 2005 (Verschiebungsanfrage))

10. Am 21. November 2005 fand die Sachverhaltsabklärung des EDÖB bei den KSS in Schaffhausen statt.

11. Mit Schreiben vom 30. November 2005 hat der EDÖB den KSS das weitere Vorgehen im Rahmen der Datenschutzkontrolle per E-Mail angekündigt. (siehe Anhang 8 : E-Mail des EDÖB vom 30. November 2005 (Vorgehen Datenschutzkontrolle))

12. Am 14. Dezember 2005 hat der EDÖB den KSS ein Fact-Sheet geschickt, mit der Bitte um materielle Bereinigung des Textes sowie um Beantwortung aufgetretener Rückfra- gen. (siehe Anhang 9 : Schreiben des EDÖB vom 14. Dezember 2005 (Fact-Sheet))

13. Mit Schreiben vom 20. Januar 2006 hat die KSS um eine Fristverlängerung gebeten. (siehe Anhang 10 : Schreiben der KSS vom 20 Januar 2006 (Bitte um Fristerstreckung))

14. Am 24. Januar 2006 hat der EDÖB per E-Mail eine Fristverlängerung bis zum 3. Februar 2006 gewährt. (siehe Anhang 11 : E-Mail des EDÖB vom 24. Januar 2006 (Fristerstre- ckung bis 3. Februar 2006))

15. Mit Schreiben vom 1. Februar 2006 hat die KSS die Richtigkeit des Fact-Sheets bestätigt und die gestellten Rückfragen beantwortet. (siehe Anhang 12 : Schreiben der KSS vom

16. Februar 2006 (Bestätigung der Richtigkeit des Fact-Sheets))

17. Die Ergebnisse der Sachverhaltsabklärung wurden vom EDÖB in einem separaten und detaillierten Bericht (Schlussbericht des EDÖB vom 11. April 2006) festgehalten. Dieser Schlussbericht erging zusammen mit der Empfehlung zuhanden der KSS. (siehe Anhang 13 : Schreiben des EDÖB vom 11. April 2006 (Schlussbericht) und Anhang 14 : Schreiben des EDÖB vom 11. April 2006 (Empfehlung))

18. Mit Schreiben vom 18. Mai 2006 hat die KSS um eine Fristverlängerung bezüglich Stel- lungnahme zum Schlussbericht und zur Empfehlung gebeten. (siehe Anhang 15 : Schreiben der KSS vom 18. Mai 2006 (Bitte um Fristverlängerung))

19. Mit Schreiben vom 24. Mai 2006 hat der EDÖB eine Fristerstreckung bis zum 19. Juni 2006 gewährt. (siehe Anhang 16 : Schreiben des EDÖB vom 24. Mai 2006 (Fristerstre- ckung bis 19. Juni 2006))

20. Mit Schreiben vom 19. Juni 2006 hat die KSS um eine Fristverlängerung bezüglich Stel- lungnahme zum Schlussbericht und zur Empfehlung gebeten. (siehe Anhang 17 : Schreiben der KSS vom 19. Juni 2006 (zweite Bitte um Fristverlängerung))

4/16

20. Mit Schreiben vom 21. Juni 2006 hat der EDÖB eine zweite Fristerstreckung bis 10. Au- gust 2006 gewährt. (siehe Anhang 18 : Schreiben des EDÖB vom 21. Juni 2006 (zweite Fristerstreckung bis 10. August 2006))

21. Mit Schreiben vom 10. August 2006 hat die KSS die fünf vom EDÖB unterbreiteten Emp- fehlungen akzeptiert. Bezüglich der Verbesserungsvorschläge und die Angabe der ver- traulichen Informationen hat sich die KSS nicht geäussert. (siehe Anhang 19 : Schreiben der KSS vom 10. August 2006 (Stellungnahme zu unseren 5 Empfehlungen))

22. Mit Schreiben vom 31. August 2006 hat der EDÖB die KSS um Nachlieferung der Stel- lungnahmen zu den Verbesserungsvorschlägen, Angaben über vertrauliche Informatio- nen und Erläuterung der Stellungnahme der KSS zu Empfehlung Nr. 4 (Anonymisierung der Transaktionsdaten) - mit Frist bis zum 15. September 2006 - gebeten. (siehe Anhang 20 : Schreiben des EDÖB vom 31. August 2006 (Bitte um Nachlieferung der Stellung- nahme zu den Verbesserungsvorschlägen und zur Erläuterung der Stellungnahme zu Empfehlung Nr. 4))

23. Mit Schreiben vom 15. September 2006 hat uns die KSS um eine weitere Fristerstre- ckung bis 19. Oktober 2006 gebeten. (siehe Anhang 21 : Schreiben der KSS vom 15. September 2006 (Bitte um Fristverlängerung))

24. Mit Schreiben vom 20. September 2006, wurde eine Fristerstreckung bis 19. Oktober 2006 durch den EDÖB gewährt. (siehe Anhang 22 : Schreiben des EDÖB vom 20. Sep- tember 2006 (Fristerstreckung bis 19. Oktober 2006))

25. Mit Stellungnahme vom 18. Oktober 2006, hat die KSS, folgende Massnahmen zur Emp- fehlung Nr. 2 (dezentralisierte Speicherung der Templates) vorgeschlagen: „Die Dauer- karten werden durch beschreibbare Medien ersetzt, die Software wird so angepasst, dass die Daten auf der Karte gespeichert werden können. ...Programmieren, Testen und die Inbetriebnahme kann bis zum 01. Mai 2007 garantiert werden. Die Einführung kann ebenfalls auf Saisonbeginn, mithin 15. Mai 2007, stattfinden“. (siehe Anhang 23 : Schreiben der KSS vom 18. Oktober 2006 (Massnahmen zur Empfehlung Nr. 2))

26. Mit Schreiben vom 10. November 2006 haben wir KSS mitgeteilt, dass wir die Kontrolle für abgeschlossen erachten würden, vorbehältlich der Einreichung eines Implementie- rungsberichts bezüglich die Umsetzung der erlassenen Empfehlungen und Verbesse- rungsvorschläge und unter Hinweis auf die im erwähnten Schreiben genannten drei Punkte. Deshalb wurde die KSS dazu aufgefordert, uns per 01. Juni 2007 einen Imple- mentierungsbericht bezüglich der Umsetzung sämtlicher vom EDÖB erlassenen Emp- fehlungen und Verbesserungsvorschläge zuzustellen. (siehe Anhang 24 : Schreiben des EDÖB vom 10. November 2006 (Bitte um Zustellung einem Implementierungsbericht be- züglich der Umsetzung sämtlicher vom EDÖB erlassenen Empfehlungen und Verbesse- rungsvorschläge))

27. Mit Schreiben vom 22. November 2006, hat der EDÖB der KSS die zuvor angekündigte Aufschaltung des Schlussberichts am 24. November 2006 auf seiner Website bestätigt. (siehe Anhang 25 : Schreiben des EDÖB vom 22. November 2006 (Bericht zur Publika- tion))

5/16

28. Mit Schreiben vom 1. Juni 2007, teilte die KSS mit, dass „aus Gründen der Arbeitsüber- lastung [...] bisher weder die Direktion der KSS noch die Herstellerfirma [...] dazu [kam], den verlangten Bericht zu erstellen“. (siehe Anhang 26 : Schreiben der KSS vom 1. Juni 2007 (Bemerkungen zum kürzen Implementierungsbericht))

29. Mit Schreiben vom 28. Juni 2007, hat der EDÖB wiederholt zur Kenntnis genommen, dass KSS gemäss Ihren Antworten vom 10. August 2006 und 18. Oktober 2006 die vier Empfehlungen vom 11. April 2006 akzeptiert hatte. Der EDÖB hat dabei wieder auf sei- nen Brief vom 10. November 2006 (abgeschlossene Kontrolle, vorbehältlich der Einrei- chung eines Implementierungsberichts) hingewiesen und die KSS um Erläuterungen zum Implementierungsbericht gebeten. (mit Frist bis zum 31. Juli 2007 zur Einreichung einer kurzen Übersicht und zum 30. September zur Einriechung des Implementierungs- berichts ). (siehe Anhang 27 : Schreiben des EDÖB vom 28. Juni 2007 (Nachforderung für die Frist um die Beschaffung des Implementierungsberichts))

30. Mit Schreiben vom 26. Juli 2007, teilte die KSS mit, dass „unter Hinweis auf die bisher entstandenen Kosten, keine weitere Vorkehren mehr geplant“ seien. (siehe Anhang 28 : Schreiben der KSS vom 26. Juli 2007)

31. Aufgrund dieser neuen Informationen seitens der KSS, hat der EDÖB mit Schreiben vom

32. August 2007 der KSS mitgeteilt, dass er sich zu einer Nachkontrolle entschieden hatte, um zu überprüfen, ob die Empfehlungen und Verbesserungsvorschläge umgesetzt wurden. (siehe Anhang 29 : Schreiben des EDÖB vom 27. August 2007 (Nachkontrol- le)).

33. Bei der ersten Nachkontrolle am 11. September 2007, wurde festgestellt, dass die Emp- fehlung Nr. 1 umgesetzt war und dass die Empfehlungen 3, 4 und 5 erst nach einem Software-Release bis Ende Jahr umgesetzt werden könnten. Was die Empfehlung Nr. 2 anbelangt (dezentrale Speicherung der Templates), wurde der Anbieter der technischen Lösung angefragt, wie Smartcards eingesetzt werden können und welche Kosten damit verbunden seien. Der Geschäftsleiter hat uns mitgeteilt, dass die KSS bisher keine Smartcards nachgefragt hat, aber dass die Anpassung für die KSS allerdings kosten- neutral sei (bis auf die Anschaffungskosten für die Smartcards, d.h. ungefähr 5 Franken pro Stück). Zusätzlich hat er mitgeteilt, dass das System schon dazu geeignet ist, Smartcards auszulesen. Der Betriebsleiter der KSS schätzte die bei der KSS im Umlauf befindliche Dauerkarten auf ungefähr 15'000.

34. Mit Schreiben vom 4. Dezember 2007 teilte der EDÖB der KSS mit, dass er sich für eine zweite Nachkontrolle vor Ort entschieden hatte, um die Umsetzung der Empfehlungen 3 und 4 überprüfen zu können. Dazu setzte er der KSS eine Frist bis 15. Januar 2008 an, um einen Termin zu nennen, bis wann Sie die Empfehlung Nr. 2 im Jahr 2008 umsetzen wollten. (siehe Anhang 30 : Schreiben des EDÖB vom 4. Dezember 2007). Eine Bespre- chung über die Umsetzung der Empfehlung Nr. 2 wurde nachträglich zwischen den Be- teiligten vereinbart.

35. Mit Schreiben vom 14. Januar 2008 teilte uns die KSS mit, dass sie davon ausgingen, dass Ihnen die eröffnete Frist einstweilen abgenommen war. (siehe Anhang Anhang 31 : Schreiben der KSS vom 14. Januar 2008).

6/16

35. Bei der zweiten Nachkontrolle am 17. Januar 2008 hat der EDÖB feststellen können, dass die Empfehlungen 3 und 4 umgesetzt worden waren. Die Besprechung über die Empfehlung Nr. 2 führte dazu, dass deren Umsetzung grundsätzlich möglich sein sollte, unter Berücksichtigung der auf die KSS zukommenden Kosten für die Neuanschaffung von Smartcards, auf welchen die biometrischen Daten in dezentraler Form gespeichert werden können.

36. Mit Schreiben vom 29. Februar 2008 hat die KSS mitgeteilt, dass sie die Umsetzung der Empfehlung Nr. 2 ablehnt, da sie diese als unverhältnismässig („Zum einen müssten neue Karten eingekauft werden, was hohe Anschaffungskosten verursacht, zum andern wäre zusätzlicher logistischer Aufwand durch die Erfassung und Ausstellung der neuen Karte unvermeidbar“) erachtet. (siehe Anhang 32 : Schreiben der KSS vom 29. Februar 2008 (Ablehnung der Empfehlung Nr. 2)). III. Formelles

37. Die KSS hat unsere Empfehlung Nr. 2 bezüglich der dezentralen Speicherung von Templates mit Schreiben vom 10. August 2006 akzeptiert, diese aber dann nicht befolgt. Schliesslich, mit Schreiben vom 29. Februar 2008 hat die KSS unsere Empfehlung Nr. 2 abgelehnt. Damit kann der EDÖB gemäss Art. 29 Abs. 4 DSG die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen. IV. Erwägungen

38. Biometrische Daten als Personendaten im Sinne von Art. 3 lit. a DSG

39. Gemäss Art. 3 lit. a DSG, sind unter „personenbezogene Daten“, alle Angaben zu ver- stehen, „die sich auf eine bestimmte oder bestimmbare Person beziehen“ (Basler Kom- mentar zum DSG, Urs Maurer-Lambrou/Andreas Steiner zu Art. 3 DSG, Rz. 4). Gemäss Art. 2 Abs. 1 DSG ist das DSG für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen sowie durch Bundesorgane anwendbar.

40. Biometrische Daten 6 werden als personenbezogenen Daten qualifiziert, da sie sich auf den eigenen Körper (biometrische Charakteristiken 7 ) beziehen und Informationen über physiologischen (dazu zählen Fingerabdrücken und Finger-Bild, Iris, Gesichts, Handge- ometrie, usw.) oder verhaltenstypischen (dazu zählen Unterschrift, Tastenanschlag, Gangart usw.) Merkmale von bestimmten oder bestimmbaren Personen enthaltenen können. Der Einsatz von biometrischen Erkennungssystemen beinhaltet Risiken für die Grundrechte und -freiheiten und hat sich zu einer grossen Herausforderung für den Da- tenschutz entwickelt. Aufgrund dieser Risiken, haben gewisse Mitgliedstaaten der EU gemäss Art. 20 Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbei- tung personenbezogener Daten und zum freien Datenverkehr (siehe Anhang 33 : Richt- linie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) http://ec.europa.eu/justice_home/fsj/privacy/law/index_de.htm, Re-

6 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 6 7 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 2

7/16

gelungen bezüglich Vorabkontrollen für biometrische Daten oder Erkennungssystemen (Frankreich, Italien, Luxemburg, Slowakei, Slowenien) sowie besonders schützenswer- ten Personendaten (Deutschland, Griechenland, Litauen, Österreich, Portugal) festge- legt.

40. Wie die Art. 29-Datenschutzgruppe der EU in ihrem Arbeitspapier über Biometrie, S. 2, 5 f. (siehe Anhang 34 : Arbeitspapier über Biometrie (WP Nr. 80)) (angenommen am 1. August 2003) http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2003_en.htm festhält, sind „biometrische Daten [...] Daten besonderer Art, da sie sich auf die verhal- tenstypischen und physiologischen Merkmale einer Person beziehen und unter Umstän- den ihre eindeutige Identifizierung ermöglichen. Allerdings hängt die eindeutige Identifi- zierung von verschiedenen Faktoren wie dem Umfang der Datenbank und der Art der verwendeten biometrischen Daten ab. [...] Biometrische Daten dürften stets als Informa- tionen über eine natürliche Person einzustufen sein, da sie naturgemäß Aufschluss über eine bestimmte Person geben“.

41. Gemäss Hornung (Der Personbezug biometrischer Daten, Datenschutz und Datensi- cherheit (DuD), 28 (2004) 7, S. 430 f.) kann „ein Personenbezug von Templates [...] nicht grundsätzlich verneint werden, weil auch diese (extrahierte) Informationen über ei- ne Person enthalten und ihr über Zuordnungslisten zugeordnet sein können. Biometri- sche Daten sollten dann nicht als personenbezogene Daten eingestuft werden, wenn sie wie ein Template so gespeichert werden, dass eine Identifizierung der betroffenen Per- son durch den Verantwortlichen für die Verarbeitung oder Dritte mit angemessenen Mit- teln ausgeschlossen ist. Bei der Präsentation biometrischer Merkmale entstehen in aller Regel personenbezogene Daten. Das ist beim Enrolment stets, beim Matching immer dann der Fall, wenn die Identität des Betroffenen durch die verantwortliche Stelle auf anderem Wege feststellbar ist. In diesem Fall sind auch die jeweiligen Referenzdaten personenbezogen. Gleiches gilt, wenn diese mit einem Zuordnungssystem gespeichert sind. Bei einer Speicherung auf Chipkarten, auf denen der Name des Inhabers aufge- druckt ist, handelt es sich nur dann nicht um personenbezogene Daten, wenn die Karte selbst über einen Sensor verfügt“.

42. Im vorliegenden Fall ist die von den KSS durchgeführten Datenbearbeitungen gerade auf die Verifizierung ausgerichtet. Die Überprüfung der Zugangsberechtigung wird durch die Vergleichung des Fingerabdrucks einer Person mit dem in der zentralen Datenbank abgespeicherten Template erfüllt. Damit handelt es sich bei den von den KSS gesam- melten biometrischen Daten um Personendaten gemäss Art. 3 lit. a DSG.

43. Datenschutzgrundsätze

2.1. Zweckbindung

43. Personendaten dürfen nur zu dem Zweck bearbeitet werden, welcher bei der Beschaf- fung angegeben wurde oder der aus den Umständen ersichtlich oder gesetzlich vorge- sehen ist (Art. 4 Abs. 3 DSG). Die von den KSS erhobenen biometrischen Daten dienen der Verifizierung der Zugangsberechtigung der betroffenen Personen. Zwar nimmt die KSS bei den Zugangskontrollen keine Zweckänderung vor, allerdings ist eine Änderung des Bearbeitungszwecks im vorliegenden Falle von den Betroffenen durch die zentrale

8/16

Speicherung der biometrischen Daten nicht kontrollierbar. Daher sind technische Lösun- gen zur Verifizierung der Zugangsberechtigung vorzuziehen, bei welchen keine zentrale Speicherung von biometrischen Daten vorgenommen wird. Da bei einer zentralen Da- tenspeicherung die betroffene Person die Kontrolle über die über sie gesammelten bio- metrischen Daten vollständig verliert, birgt ein zentraler Datenbestand die Gefahr einer Verletzung der informationellen Selbstbestimmung mit sich, welche gemäss Art. 13 Abs. 2 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (SR 101; BV) garantiert wird.

44. In der Praxis hängt die Reichweite der informationellen Selbstbestimmung der betroffe- nen Personen von den verwendeten technischen Verfahren und Lösungen ab. Einige Lösungen ermöglichen die individuelle Kontrolle über die personenbezogenen Refe- renzdaten, andere ermöglichen die individuelle Kontrolle sowohl über die personenbe- zogenen Referenzdaten als auch über die personenbezogenen Transaktionsdaten (Le- sen und Vergleichen).

45. Datenschutzrechtlich, sollten die betroffenen Personen so viel Kontrolle wie möglich über die eigenen Daten haben. Im Fall der KSS, haben wir daher eine dezentrale Speiche- rung empfohlen. Damit die biometrischen Daten den Kontrollbereich der betroffenen Person nicht verlassen, haben wir den Einsatz von einem milderen Mittel „Smartcards match on card“ empfohlen, so dass die biometrische Daten auf dem Sicherheitsmedium gespeichert werden und die Verifizierung auf dem Sicherheitsmedium stattfindet.

2.2. Verhältnismäßigkeit der Datenbearbeitung

46. Die Bearbeitung von Personendaten hat sich am Grundsatz der Verhältnismässigkeit zu orientieren (Art. 4 Abs. 2 DSG). Dies bedeutet, dass ein Datenbearbeiter nur diejenigen Daten bearbeiten darf, die er für einen bestimmten Zweck objektiv tatsächlich benötigt und die im Hinblick auf den Bearbeitungszweck und die Persönlichkeitsbeeinträchtigung in einem vernünftigen Verhältnis stehen (Basler Kommentar zum DSG, Urs Maurer- Lambrou/Andreas Steiner zu Art. 4 DSG, Rz. 11). Eine Datenbearbeitung ist dann ver- hältnismässig, wenn sie sich inhaltlich auf das absolut Notwendige beschränkt, um ein bestimmtes Ziel zu erreichen. Dies bedingt auch, dass keine für den verfolgten Zweck nicht benötigten Überschussin- formationen anfallen. Ebenso ist es unzulässig, Personendaten auf Vorrat zu erheben, sofern der damit verfolgte Zweck dies nicht unabdingbar erfordert.

47. Wie die Art. 29-Datenschutzgruppe der EU in ihrer Stellungnahme zum Einsatz von Bi- ometrie festhält (siehe Anhang 34 : Arbeitspapier über Biometrie (WP Nr. 80), S. 6, Nr. 3.2), sind bei der Beurteilung der Verhältnismässigkeit „die Risiken für den Schutz der Grundrechte und – freiheiten des Einzelnen zu berücksichtigen, vor allem die Frage, ob der beabsichtigte Zweck nicht auch auf eine weniger in die Rechte der Betroffenen ein- greifende Weise zu erreichen ist“. Grundsätzlich sind daher vor dem Einsatz biometrischer Erkennungssysteme immer auch andere geeignete Alternativen zu überprüfen, welche weniger stark in die Grund- rechte der Betroffenen eingreifen und mit denen der angestrebte Zweck ebenfalls er- reicht werden kann.

48. Der Einsatz biometrischer Erkennungssysteme stellt je nach Ausgestaltung im konkreten Einzelfall einen mehr oder weniger intensiven Eingriff in die Persönlichkeitsrechte der

9/16

Betroffenen dar. Die Eingriffe in die Grundrechte der Betroffenen müssen daher schon bei der Auswahl und Ausgestaltung des biometrischen Verfahrens berücksichtigt wer- den. Grundsätzlich muss ein möglichst datensparsames System ausgewählt werden, welches in einem vernünftigen Verhältnis zum angestrebten Zweck steht.

49. Vor diesem Hintergrund müsste die Konzeption des Zugangskontrollsystems im Hinblick auf den zu erreichenden Zweck ausgestaltet sein und insbesondere die nachfolgenden Kriterien in die hierfür notwendigen Erwägungen mit einbeziehen:

1.) Ermöglicht das System eine biometrische Identifizierung oder Verifizierung und ist es zur Erreichung des Zwecks notwendig die betroffene Person zu identifizieren bzw. reicht eine Verifizierung aus? 2.) Wie werden die biometrischen Daten gespeichert (zentral oder dezentral) und ist eine zentrale Speicherung notwendig? 3.) Welche biometrischen Charakteristiken werden verwendet und sind diese für die Zweckerreichung notwendig? 4.) Welche technischen und organisatorischen Massnahmen werden getroffen, um die Zuverlässigkeit und Sicherheit des biometrischen Erkennungssystems zu gewähr- leisten?

50. Zu 1.) Die biometrische Identifizierung einer betroffenen Person stellt einen schwerwiegende- ren Eingriff in deren Persönlichkeit dar als deren blosse Verifizierung. Aus diesem Grund sollten Systeme zur biometrischen Identifizierung nur eingesetzt werden, wenn es zur Erreichung des beabsichtigten Zwecks zwingend notwendig ist, die betroffene Person aufgrund ihrer biometrischen Daten zu identifizieren. Die biometrische Verifi- zierung sollte vorwiegend nur dann zum Einsatz kommen, wenn eine strenge Authenti- fizierung nicht in einem ausreichenden Masse durch traditionelle Authentifizierungs- möglichkeiten, wie Passwörter oder Zugangschips (Tokens) realisiert werden kann und eine eigentliche Identifizierung der betroffenen Person nicht zwingend notwendig ist.

51. Zu 2.) Der Grundsatz der Verhältnismässigkeit gebietet, bei biometrischen Systemen, die auch ohne zentrale Speicherung der biometrischen Daten auskommen, dass die bio- metrischen Charakteristiken möglichst nicht in einer zentralen Datenbank gespeichert werden, sondern nur auf einem dezentralen Medium, das ausschliesslich dem Benut- zer zugänglich ist. Der Europarat hält in seiner Stellungnahme fest, (siehe Anhang 35 : Rapport d’étape sur les principes de l’application de la Convention 108 à la collecte et au traitement des données biométriques, Nr. 48). http://www.coe.int/t/f/affaires_juridiques/coop%E9ration_juridique/protection_des_don n%E9es/documents/rapports_et_%E9tudes_des_comit%E9s_de_protection_des_don n%E9es/O-Biometrie_2005.asp#TopOfPage, „le choix d’une base de données pour la fonction de vérification requiert une justification particulière“ (dass die Implementierung einer zentralen Datenbank zum Zweck der biometrischen Verifizierung besondere Rechtfertigungsgründe voraussetzt).

52. Ist hingegen die Identifizierung der betroffenen Person zur Erreichung des angestreb- ten Zwecks notwendig, so ist eine zentrale Speicherung der biometrischen Daten in vielen Fällen geboten.

10/16

53. Der Zürcher Datenschutzbeauftragter hat in seinem 11. Tätigkeitsbericht (siehe Anhang 36 : Datenschutzbeauftragter Kanton Zürich, Tätigkeitsbericht 2005, S.12 f.) bezüglich des Einsatzes eines biometrischen Systems durch eine Gemeinde für die Zugangskontrolle ins Schwimmbad festgehalten, dass „das Template auf einer bei der betroffenen Person verbleibenden Smartcard abgelegt und beim Wiedereintritt mit dem erzeugten Prüfmuster verglichen werden. Aus datenschutzrechtlicher Sicht sind Systeme vorzuziehen, bei denen auch das Einlesen des Fingerabdrucks und der Veri- fizierungsvorgang in der Nützersphäre stattfinden. Biometrische Daten dürfen nicht bei der Schwimmbad-Betreiberin abgelegt werden “.

54. Der EDÖB hat schon im Jahre 2004, in seinem Bericht über das Pilotprojekt Secure Check am Flughafen Zürich-Kloten, die dezentrale Speicherung empfohlen. (siehe Anhang 37 : Bericht über das Pilotprojekt Secure Check - Einsatz von Biometrie beim Check-In und Boarding am Flughafen Zürich-Kloten, Nr. 6.5.2, 6.6.1, 6.6.2 und 7.1)

55. In Frankreich hat die Commission nationale de l’informatique et des libertés (CNIL) in verschiedene Fälle die dezentrale Speicherung empfohlen 8 . Bezüglich Délibération n°2007-138 du 21 juin 2007 autorisant la mise en œuvre par la SARL Magic Form d’un traitement automatisé de données à caractère personnel reposant sur la recon- naissance des empreintes digitales et ayant pour finalité le contrôle de l’accès à un club de sport (siehe Anhang 38 : Délibération n°2007-138 du 21 juin 2007 (CNIL)) hat die CNIL folgendes empfohlen : „Le gabarit de l’empreinte digitale des personnes concernées sera exclusivement stocké sur un support individuel exclusivement détenu par la personne concernée et dont elle décide librement de l’utilisation “.

56. Im Fall Comité d’entreprise d’Effia Services, Syndicat Sud Rail / Effia Services hat das Tribunal de grande instance de Paris am 19. April 2005 folgendes bezüglich die Be-

8 Délibération n°2007-138 du 21 juin 2007 autorisant la mise en œuvre par la SARL Magic Form d’un traitement automatisé de données à caractère personnel reposant sur la reconnaissance des em- preintes digitales et ayant pour finalité le contrôle de l’accès à un club de sport, S. 2 (siehe Anhang 38 : Délibération n°2007-138 du 21 juin 2007 (CNIL)) ; Délibération n°2006-102 du 27 avril 2006 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail, S. 1 f. (siehe Anhang 39 : Délibération n°2006-102 du 27 avril 2006 (CNIL)) http://www.cnil.fr/index.php?id=2013 ; Délibération n°2005-115 du 7 juin 2005 portant autorisation de la mise en œuvre par la Chambre de Commerce et d’Industrie de Nice-Côte d’Azur d’un traitement automatisé de données à caractère personnel ayant pour finalité la gestion d’une carte de fidélité impliquant l’utilisation d’un dispositif biométrique de reconnaissance des empreintes digitales, S. 3 (siehe Anhang 40 : Délibération n°2005-115 du 7 juin 2005 (CNIL)) ; Délibération n°04-018 relative à une demande d’avis présentée par le Centre hospitalier de Hyères concernant la mise en œuvre d’un dispositif de reconnaissance de l’empreinte digitale ayant pour finalité la gestion du temps de travail de ses personnels, S. 1 f. (siehe Anhang 41 : Délibération n°04- 018 (CNIL)) http://www.cnil.fr/index.php?id=1550 X= Délibération n°04-017 relative à une demande d’avis de l’établissement public Aéroports de Paris concernant la mise en œuvre d’un contrôle d’accès biométrique aux zones réservées de sûreté des aéroports d’Orly et de Roissy, S. 1 (siehe Anhang 42 : Délibération n°04-017 (CNIL)) http://www.cnil.fr/index.php?id=1551

11/16

nützung eines biometrisches Erkennungssystems (welches den Fingerabdruck als Er- kennungsmerkmal nutzte) erwägt : „Son utilisation qui met en cause le corps humain et porte ainsi atteinte aux libertés individuelles peut cependant se justifier lorsqu’elle a une finalité sécuritaire ou protectrice de l’activité exercée dans des locaux identifiés. [...] Or, il n’est pas prétendu par la société Effia Services que la seule mise en place d’un système de badge ne serait pas de nature à permettre de contrôler efficacement les horaires des salariés sans avoir recours à un procédé d’identification comportant des dangers d’atteinte aux libertés individuelles dont la nécessité n’est pas démon- trée. Il s’ensuit que l’objectif poursuivi n’est pas de nature à justifier la constitution d’une base de données d’empreintes digitales des personnels travaillant dans les es- paces publics des gares de la Sncf, le traitement pris dans son ensemble n’apparaissant ni adapté ni proportionné au but recherché. Il y a lieu de faire interdic- tion à la société Effia Services de mettre en place le système de "badgeage" par em- preintes digitales“. (siehe Anhang 43 : Tribunal de grande instance de Paris 1ère chambre, section sociale Jugement du 19 avril 2005 Comité d’entreprise d’Effia Servi- ces, Syndicat Sud Rail / Effia Services, S. 2) http://www.legalis.net/jurisprudence- decision.php3?id_article=1433

57. In Luxemburg hat die Commission nationale pour la protection des données bezüglich Délibération n°89/2005 du 21 décembre 2005 de la Commission nationale pour la pro- tection des données relative à la demande d’autorisation préalable introduite par l’établissement public Domaine Thermal de Mondorf en matière de traitement à des fins de surveillance contenant des données biométriques (siehe Anhang 44 : Délibéra- tion n°89/2005 du 21 décembre 2005 de la Commission nationale pour la protection des données, S. 18) http://www.cnpd.lu/objets/deliberation_89_2005.pdf folgendes empfohlen : „les moyens adoptés par le requérant pour atteindre ces finalités doivent être les plus respectueux possible des droits fondamentaux et des libertés de la per- sonne concernée : or, tout système centralisé de données – comme le traitement en- visagé par le requérant - présente un risque particulier de dérive, qui n’existe pas quand les données ne sont pas centralisées. Qui plus est, les systèmes de centralisa- tion de données biométriques qui laissent des traces, comme les empreintes digitales, présentent plus de risques pour la protection des libertés et des droits fondamentaux de la personne que les traitements qui ne prévoient pas une telle centralisation “.

Die dezentrale Speicherung von biometrischen Daten wurde ebenfalls in Grie- chenland 9 , Italien 10 und Slowenien 11 empfohlen.

9 Siehe Anhang 45 : Decision Nr. 9/2003 (Hellenic Republic authority for the protection of personal data), S. 4 10 Uso delle impronte digitali per i sistemi di rilevamento delle presenze nei luoghi di lavoro (siehe Anhang 46 : Verifica preliminare (art. 17 del Codice) – 21 luglio 2005, Bollettino del n. 63/luglio 2005 (Garante per la protezione dei dati personali), S. 3) http://www.garanteprivacy.it/garante/doc.jsp?ID=1150679

Trattamento dei dati biometrici di dipendenti per garantire la salute pubblica (siehe Anhang 47 : Pre- scrizioni del Garante [art. 154, 1 c) del Codice] - 15 febbraio 2008 Bollettino del n. 92/febbraio, S. 2) http://www.garanteprivacy.it/garante/doc.jsp?ID=1497675

11 Empfehlung Nr. 751-01-26/2005-01 (administrative procedure on deciding over introduction of bio- metric measures initiated on request of the Bank of Slovenia) (siehe Anhang 48 : Empfehlung Nr. 751- 01-26/2005-01 (Slowenien), S. 2) http://www.ip-rs.si/index.php?id=369

12/16

59. Zu 3.) Wie die Art. 29-Datenschutzgruppe in ihrer Stellungnahme zum Einsatz von Biometrie, S. 6 und f. festhält, „sind biometrische Systeme, die zur Zugangskontrolle (für Identifi- kation oder Verifikation) eingesetzt werden, mit geringeren Gefahren für den Schutz der Grundrechte und –freiheiten des Einzelnen verbunden, wenn sie entweder auf Körpermerkmalen basieren, die keine Spuren hinterlassen (z.B. in Form der Hand, aber keine Fingerabdrücke), oder wenn sie zwar Körpermerkmale verwenden, die Spuren hinterlassen, die Daten jedoch nicht auf einem Medium speichern, das sich nicht im Besitz der betroffenen Person befindet (mit anderen Worten, wenn die Daten nicht im Gerät, das den Zugang kontrolliert, oder in einer zentralen Datenbank gespei- chert werden)“. Zudem sind biometrische Erkennungssysteme weniger geeignet, die Grundrechte und –Freiheiten des Einzelnen zu verletzen, wenn sie sich nicht auf Körpermerkmale ab- stützen, welche unbemerkt von der betroffenen Person erhoben werden können (z.B. Fingerabdruck auf einem Glas, etc.).

60. Dazu hat die CNIL in Délibération n°2006-103 du 27 avril 2006 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère person- nel reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès au restaurant scolaire, folgendes emfohlen (siehe Anhang 49 : Délibération n°2006-103 du 27 avril 2006 (CNIL), S. 2) http://www.cnil.fr/index.php?id=2012&print=1 „Les personnes habilitées énumérées ci-dessus ne peuvent avoir accès au gabarit de l’empreinte digitale que de façon temporaire et pour les stricts besoins de son inscrip- tion sur le support individuel ou de sa suppression“.

61. Zu 4.) Die Zuverlässigkeit und Sicherheit des biometrischen Erkennungssystems hat einen bedeutenden Einfluss auf eine mögliche Verletzung und die Gefahren im Hinblick auf den Schutz der Grundrechte und –freiheiten des Einzelnen. Vor diesem Hintergrund ist es notwendig die nachfolgenden Elemente im Hinblick auf die Konzeption von sol- chen Systemen in die Erwägungen mit einzubeziehen: Die Architektur des Systems (insbesondere dessen Ausgestaltung, Zuverlässigkeit und die Installationsorte der Le- segeräte sowie das verwendete Kommunikationsnetzwerk und die Art der Speiche- rung der biometrischen Daten), die Extraktionsalgorithmen (Zahl der erhobenen Cha- rakteristiken der biometrischen Information) und Vergleichsalgorithmen 12 (FAR/FRR) sowie die technischen und organisatorischen Sicherheitsmassnahmen (insbesondere die Verschlüsselung der Daten).

62. Dazu hat die OCDE empfohlen, dass die Sicherheit des biometrischen Erkennung- ssystems sich auf die „Lignes directrices de l’OCDE sur la vie privée“ und die „Lignes directrices de l’OCDE sur la sécurité“ stutzt (siehe Anhang 51 : Technologies fondées sur la biométrie (document DSTI/ICCP/REG(2003)2/FINAL), S. 5) http://appli1.oecd.org/olis/2003doc.nsf/linkto/dsti-iccp-reg(2003)2-final

12 Siehe Anhang 50 : FIDIS Deliverable 3.10 Biometrics in identity management , S. 26 ff., Nr. 3.1.4 http://www.fidis.net/fileadmin/fidis/deliverables/fidis-wp3- del3.10.biometrics_in_identity_management.pdf)

13/16

63. Im Fall der KSS geht es um eine biometrische Verifizierung mit Erfassung von Fingerab- drücken (die Spuren hinterlassen), welche zentral gespeichert werden, ausschliesslich darum, den Missbrauch von Dauerkarten (Saisonabonnemente und Jahreskarten) auto- matisiert zu verhindern. Im Hinblick auf die Bearbeitungszwecke, kann der EDÖB die Einführung des biometrisches Erkennungssystems unter Vorbehalt akzeptieren. Obwohl, allerdings die von KSS eingeführten Massnahmen und durchgeführten Datenbearbei- tungen geeignet sind das angestrebte Ziel zu erreichen, stehen diese nicht in einem ver- nünftigen Verhältnis zum Eingriff in die Grundrechte der betroffenen Personen. Die Kon- formität der Datenbearbeitung mit dem Datenschutzgesetz, insbesondere mit den Grundsätzen des Datenschutzes, muss vorgängig überprüft werden. Diesbezüglich, stel- len die von der KSS erwähnten hohen Anschaffungskosten und der zusätzliche logisti- sche Aufwand (siehe Anhang 32 : Schreiben der KSS vom 29. Februar 2008 (Ablehnung der Empfehlung Nr. 2)) kein stichhaltiges Argument dar. Dabei ist zunächst darauf hin- zuweisen, dass es sich hier nicht um Anschaffungs- sondern Änderungskosten handelt. Hätte sich die KSS rechtzeitig über die datenschutzrechtlichen Anforderungen an einer solchen Anlage informiert, wären diese Änderungskosten nicht entstanden. Es liegt in der Verantwortung des Inhabers einer Datensammlung dafür zu sorgen, dass eine Anla- ge zum vornherein datenschutzkonform ist. Infolgedessen, sind die von KSS durchgeführten Datenbearbeitungen (zentrale Speiche- rung der biometrischen Daten) als unverhältnismässig zu qualifizieren (Basler Kommen- tar zum DSG, Urs Maurer-Lambrou/Andreas Steiner zu Art. 4 DSG, Rz. 9 und 11).

64. Schlussfolgerung

65. Aus den dargelegten Gründen und nach einer Interessenabwägung, hat der EDÖB in seiner Empfehlung vom 11. April 2006 den Einsatz von einem milderen Mittel, “Smart- cards match on card“, empfohlen : “Nach Ansicht des EDSB wird beim Einsatz von Bio- metrie im Privatbereich der Persönlichkeitsschutz der Betroffenen am ehesten gewahrt, indem: die biometrischen Daten auf einem Sicherheitsmedium, das sich in der alleinigen Kontrolle der betroffenen Person befindet, auslesesicher gespeichert werden; die betrof- fene Person jeden Zugriff auf die Daten explizit und bewusst freigeben muss; und die Verifizierung der Identität ausschliesslich auf diesem Sicherheitsmedium stattfindet, so dass die biometrischen Daten zu keinem Zeitpunkt die gesicherte Umgebung des Medi- ums und die Kontrolle der betroffenen Person verlassen.“ (siehe Anhang 14 : Schreiben des EDÖB vom 11. April 2006 (Empfehlung), Kapitel II, Nr. 2, S. 3). Der EDÖB hat dem- nach empfohlen, dass „auf die zentrale Speicherung der biometrischen Daten in Form von Templates der Fingerabdrücke verzichtet wird und diese biometrischen Daten – auch diejenigen, welche bereits zentral erfasst wurden – auf einer Smart Card, welche in der Benutzersphäre und unter Kontrolle der betroffenen Person verbleibt, abgelegt wer- den“. (siehe Anhang 14 : Schreiben des EDÖB vom 11. April 2006 (Empfehlung), Kapitel III, Nr. 2, S. 4)

66. Eine Dezentralisierung der biometrischen Daten, welche den betroffenen Personen le- diglich eine beschränkte Kontrolle über ihre personenbezogenen Daten gewährleistet (bspw. “Template on card“, siehe Anhang 1 : Definitionen, Nr. 10, 13 und 14) ist aus Sicht des EDÖB als ungenügend anzusehen; da die biometrische Referenzdaten ohne Kenntnis der betroffenen Personen exportiert, kopiert und unbefugt weiterverarbeitet werden könnten.

14/16

V. Fazit

66. Aus den dargelegten Gründen, sind die von der KSS vorgenommene Datenbearbeitun- gen datenschutzwidrig. Die KSS ist daher auszufordern die von ihr zur Verifizierung ver- wendeten biometrischen Daten (Templates der Fingerabdrücke) dezentral zu speichern, mittels einer Smartcard Match on card, welche sich in der Einflusssphäre und unter Kon- trollbereich der betroffenen Person befindet, sowie über welche die biometrische Verifi- zierung stattfindet. Damit sollen die biometrischen Daten zu keinem Zeitpunkt die gesi- cherte Umgebung des Mediums und die Kontrolle der betroffenen Person verlassen. Daher ist das eingangsgestellte Begehren gutzuheissen und die Empfehlungsadressatin insbesondere zu verpflichten, auf die zentrale Speicherung von biometrischen Daten in Form von Templates der Fingerabdrücke zu verzichten.

EIDGENÖSSISCHER DATENSCHUTZ- UND ÖFFENTLICHKEITSBEAUFTRAGTER

Hanspeter Thür

15/16

Beilagen: Anhang 1 : Definitionen zur Biometrie Anhang 2 : Schreiben des EDÖB vom 6. Juni 2005 (Sachverhaltsabklärung) Anhang 3 : Schreiben der KSS vom 29. Juni 2005 Anhang 4 : Schreiben des EDÖB vom 4. August 2005 Anhang 5 : Schreiben der KSS vom 19. August 2005 Anhang 6 : E-Mail des EDÖB vom 25. August 2005 (Bestätigung des Termins) Anhang 7 : Anruf der KSS vom 7. September 2005 (Verschiebungsanfrage) Anhang 8 : E-Mail des EDÖB vom 30. November 2005 (Vorgehen Datenschutzkontrolle) Anhang 9 : Schreiben des EDÖB vom 14. Dezember 2005 (Fact-Sheet) Anhang 10 : Schreiben der KSS vom 20 Januar 2006 (Bitte um Fristerstreckung) Anhang 11 : E-Mail des EDÖB vom 24. Januar 2006 (Fristerstreckung bis 3. Februar 2006)) Anhang 12 : Schreiben der KSS vom 1. Februar 2006 (Bestätigung der Richtigkeit des Fact-Sheets) Anhang 13 : Schreiben des EDÖB vom 11. April 2006 (Schlussbericht) Anhang 14 : Schreiben des EDÖB vom 11. April 2006 (Empfehlung) Anhang 15 : Schreiben der KSS vom 18. Mai 2006 (Bitte um Fristverlängerung) Anhang 16 : Schreiben des EDÖB vom 24. Mai 2006 (Fristerstreckung bis 19. Juni 2006) Anhang 17 : Schreiben der KSS vom 19. Juni 2006 (zweite Bitte um Fristverlängerung) Anhang 18 : Schreiben des EDÖB vom 21. Juni 2006 (zweite Fristerstreckung bis 10. August 2006) Anhang 19 : Schreiben der KSS vom 10. August 2006 (Stellungnahme zu unseren 5 Empfehlungen) Anhang 20 : Schreiben des EDÖB vom 31. August 2006 (Bitte um Nachlieferung der Stellungnahme zu den Verbesserungsvorschlägen und zur Erläuterung der Stellungnahme zu Empfeh- lung Nr. 4) Anhang 21 : Schreiben der KSS vom 15. September 2006 (Bitte um Fristverlängerung) Anhang 22 : Schreiben des EDÖB vom 20. September 2006 (Fristerstreckung bis 19. Oktober 2006) Anhang 23 : Schreiben der KSS vom 18. Oktober 2006 (Massnahmen zur Empfehlung Nr. 2) Anhang 24 : Schreiben des EDÖB vom 10. November 2006 (Bitte um Zustellung einem Implementie- rungsbericht bezüglich der Umsetzung sämtlicher vom EDÖB erlassenen Empfehlungen und Verbesserungsvorschläge) Anhang 25 : Schreiben des EDÖB vom 22. November 2006 (Bericht zur Publikation) Anhang 26 : Schreiben der KSS vom 1. Juni 2007 (Bemerkungen zum kürzen Implementierungsbe- richt) Anhang 27 : Schreiben des EDÖB vom 28. Juni 2007 (Nachforderung für die Frist um die Beschaffung des Implementierungsberichts) Anhang 28 : Schreiben der KSS vom 26. Juli 2007 Anhang 29 : Schreiben des EDÖB vom 27. August 2007 (Nachkontrolle) Anhang 30 : Schreiben des EDÖB vom 4. Dezember 2007 (zweite Nachkontrolle und Frist bis 15.01.2008) Anhang 31 : Schreiben der KSS vom 14. Januar 2008 (Abgenommene Frist) Anhang 32 : Schreiben der KSS vom 29. Februar 2008 (Ablehnung der Empfehlung Nr. 2) Anhang 33 : Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Anhang 34 : Arbeitspapier über Biometrie (WP Nr. 80)

16/16

Anhang 35 : Rapport d’étape sur les principes de l’application de la Convention 108 à la collecte et au traitement des données biométriques Anhang 36 : Datenschutzbeauftragter Kanton Zürich, Tätigkeitsbericht 2005 Anhang 37 : Bericht über das Pilotprojekt Secure Check - Einsatz von Biometrie beim Check-In und Boarding am Flughafen Zürich-Kloten Anhang 38 : Délibération n°2007-138 du 21 juin 2007 (CNIL) Anhang 39 : Délibération n°2006-102 du 27 avril 2006 (CNIL) Anhang 40 : Délibération n°2005-115 du 7 juin 2005 (CNIL) Anhang 41 : Délibération n°04-018 (CNIL) Anhang 42 : Délibération n°04-017 (CNIL) Anhang 43 : Tribunal de grande instance de Paris 1ère chambre, section sociale Jugement du 19 avril 2005 Comité d’entreprise d’Effia Services, Syndicat Sud Rail / Effia Services Anhang 44 : Délibération n°89/2005 du 21 décembre 2005 de la Commission nationale pour la protec- tion des données Anhang 45 : Decision Nr. 9/2003 (Hellenic Republic authority for the protection of personal data) Anhang 46 : Verifica preliminare (art. 17 del Codice) – 21 luglio 2005, Bollettino del n. 63/luglio 2005 (Garante per la protezione dei dati personali) Anhang 47 : Prescrizioni del Garante [art. 154, 1 c) del Codice] - 15 febbraio 2008 Bollettino del n. 92/febbraio Anhang 48 : Empfehlung Nr. 751-01-26/2005-01 (Slowenien) Anhang 49 : Délibération n°2006-103 du 27 avril 2006 (CNIL) Anhang 50 : FIDIS Deliverable 3.10 Biometrics in identity management Anhang 51 : Technologies fondées sur la biométrie (document DSTI/ICCP/REG(2003)2/FINAL)