17. Tätigkeitsbericht

Bern, 28.06.2010 - Im vergangenen Tätigkeitsjahr beschäftigte sich der Eidgenössische Datenschutz- und Öffentlichkeits­beauftragte (EDÖB) unter anderem mit verschiedenen aktuellen Entwicklungen, von welchen das Obligatorium für die Arbeitskräfteerhebung SAKE, die Forderungen nach einem Online-Pranger für Autoraser oder die Kontroverse um Online-Dienste wie Google Street View am meisten Aufsehen erregten. Auf Hinweise Dritter hin traf er aber auch Abklärungen bei einem Gentestanbieter, beurteilte die Rechtmässigkeit von Video­auf­nahmen mittels Drohnen, liess die Verhältnismässigkeit von Bonitätsdatenbearbei­tun­gen in einem Gutachten unter­su­chen, verfasste Erläuterungen zum betrieblichen Datenschutzverant­wort­li­chen und nahm Stellung zur Bekanntgabe von Personendaten an Dritte durch Vereine zu Marketingzwecken. Einen besonderen Schwerpunkt legte der EDÖB im Berichtsjahr, das den Zeitraum vom 1. April 2009 bis 31. März 2010 umfasst, auf die Sensibilisierung von Kindern und Jugendlichen. Im Zusammenhang mit Schengen nahm der EDÖB mehrere Kontrollen vor und die Zusammen­arbeit mit den Kantonen auf. Weiter brachte der EDÖB Vorbehalte an zum Vor­ent­wurf zur Revision des Bundesgesetzes über die Über­wa­chung des Post- und Fernmelde­ver­kehrs, beurteilte die für eHealth Schweiz empfohlene Architektur und erläuterte in einem Vortrag an der ETH Zürich die Sicht des Datenschutzes auf den Einsatz von RFID-Chips. Wie jedes Jahr beschäftigten den EDÖB auch Themen rund um den Datenschutz am Arbeitsplatz, so etwa die Frage nach dem korrekten Einsatz von Finger­ab­drücken zur Anwesenheits­kon­trol­le oder das Problem von Spionage­software. Der bereits letztes Jahr erwähnte Fall der Pensions­kasse, die die persönlichen Ausweise ihrer Versicher­ten nicht datenschutzkonform verschickt, fand ebenso eine Fortsetzung vor höherer Instanz wie der Fall des Sportzentrums KSS, das die Empfehlungen des EDÖB bezüglich biometrischer Zugangskontrolle abgelehnt hatte und nun vom Bundesverwaltungsgericht zur Ordnung gerufen wurde. Der Bericht resümiert auch die Arbeit des EDÖB im Rahmen des Bundesgesetzes über das Öffentlich­keits­prinzip während des vergangenen Jahres.

Das neu eingeführte Antwortobligatorium für die Arbeitskräfteerhebung SAKE erregte im vergan­ge­nen Herbst ebenso die Gemüter wie die Tatsache, dass die Erhebung telefonisch durch ein vom Bundesamt für Statistik (BFS) beauftragtes privates Institut durchgeführt wurde. Der EDÖB hat dem BFS verschiedene Massnahmen vorgeschlagen, um das Vertrauen der Bevölkerung in die daten­schutz­konforme Bearbeitung der erhobenen Daten zu festigen.

 

Im Nachgang zu tragischen Verkehrsunfällen, verursacht durch verantwortungsloses Fahren, wurde vermehrt die Forderung nach Veröffentlichung der Täternamen laut. Der EDÖB bezweifelt jedoch die präventive Wirkung eines solchen Internetprangers und befürchtet, es könnte sich daraus eher eine Rangliste entwickeln. Viel effektiver wären strengere Strafmassnahmen wie bspw. der Entzug des Führerausweises auf lange Zeit.

 

Im August letzten Jahres schaltete Google den Dienst Street View online. Er wies aus datenschutz­rechtlicher Sicht erhebliche Mängel auf, und zahlreiche Betroffene gelangten mit Beschwerden an den EDÖB. Nachdem Google verschiedene Empfehlungen zur Verbesserung des Persönlichkeitsschutzes mehrheitlich ablehnte, reichte der EDÖB Klage vor Bundesverwaltungsgericht ein.

 

Aufgrund von Hinweisen aus der Bevölkerung hat der EDÖB bei einer Firma in Zürich, welche Vater­schafts­tests und Herkunftsanalysen (Genealogietests) anbietet, eine Sachverhaltsabklärung durch­geführt. Sie ergab kleinere Mängel in Bezug auf die Transparenz, welche von der Firma umgehend behoben wurden. Damit erübrigten sich weitere Schritte.

 

Auf Anfrage des Bundesamts für Zivilluftfahrt (BAZL) führte der EDÖB aus, welche Kriterien bei Vi­deoaufnahmen aus Drohnen oder anderen Luftfahrzeugen zu beachten sind. Dazu zählt unter an­de­rem, dass ein Rechtfertigungsgrund vorliegen muss, aber auch Transparenz gegenüber den Betrof­fe­nen, angemessener Schutz der Daten vor unberechtigten Zugriffen sowie eine rasche Löschung der Daten.

 

Der EDÖB liess die Frage, wie lange Kreditauskunfteien betreibungsrechtliche Daten bearbeiten und weitergeben dürfen, in einem Gutachten klären. Es hält fest, dass die gesetzlichen Schranken des Bun­desgesetzes über Schuldbetreibung und Konkurs (SchKG) für die Verhältnismässigkeit der Bear­beitungsdauer relevant sind, obwohl das Gesetz gegenüber den Auskunfteien nicht direkt Pflich­ten festlegt. Der EDÖB informierte das Bundesamt für Justiz und die Auskunfteien über die Er­geb­­nisse und unterstrich nicht zum ersten Mal, wie bedeutsam Betreibungsdaten und deren Wei­ter­gabe durch Auskunfteien an Dritte im heutigen Wirtschaftsleben sind.

 

Mit der Revision des Datenschutzgesetzes, in Kraft seit 2008, können Unternehmen davon abse­hen, ihre Datensammlungen beim EDÖB anzumelden, wenn sie einen Datenschutzverantwortli­chen ernennen und den EDÖB darüber informieren. Die Mindestanforderungen an Stellung und fachliche Eignung eines solchen Verantwortlichen hat der EDÖB in den Erläuterungen zum betrieblichen Datenschutzverantwortlichen festgehalten.

 

Der Umgang mit Mitgliederdaten in Verbänden und Vereinen gab auch dieses Jahr wieder zu Fragen Anlass. Der EDÖB beriet einzelne Sportvereine und ihren Dachverband zur Weitergabe von Mit­glie­der­daten zu Marketingzwecken, die grundsätzlich nur mit der Einwilligung der Mitglieder gesche­hen darf. Statt dass nun aber jeder Verein diese Erlaubnis gesondert einholen muss, was viele Kapa­zi­täten binden würde, ist es aus Sicht des EDÖB denkbar, dass der Dachverband diese Aufgabe über­nimmt, einmalig alle Mitglieder anfragt und danach nur noch die Daten bearbeitet, für die ihm eine Einwilligung vorliegt.

 

Zahlreiche Angebote im Internet und in der Mobiltelephonie richten sich auch oder spezifisch an Ju­gend­liche. Nicht selten gefährden junge User dabei ihre Privatsphäre, weil sie sich der Gefahren, die im Netz lauern, zuwenig bewusst sind. Der EDÖB hat sich daher im abgelaufenen Tätigkeitsjahr besonders auf die jüngeren Generationen konzentriert, mit der Absicht, sie, aber auch Eltern und Lehrer, für Datenschutzfragen zu sensibilisieren. Im Rahmen des 4. Europäischen Datenschutztages fanden entsprechende Veranstaltungen statt, und der EDÖB liess ein Ausbildungstool für Jugend­liche und Lehrkräfte entwickeln, mit dem die Schülerinnen und Schüler im Unterricht datenschütze­ri­sches Know-how lernen. Weiter hat er umfassende Informationen auf seiner Webseite veröffentlicht.

 

In Bezug auf die Personendatenbearbeitungen im Schengener Informationssystem SIS hat der EDÖB als Aufsichtbehörde über die Bundesorgane in Sachen Datenschutz mehrere Kontrollen durch­ge­führt. So überprüfte er die diplomatische Vertretung der Schweiz in Kairo, aber auch die Daten­bear­bei­tun­gen durch die Bundeskriminalpolizei. Zudem berief der EDÖB die Koordinations­gruppe der Schweizerischen Datenschutzbehörden zweimal zu Sitzungen ein.

 

Im Rahmen der Ämterkonsultation zum Vorentwurf der Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs bemängelte der EDÖB unter anderem die unklare Handhabung des Auskunftsrechts und die ungenügenden Angaben zur Wirksamkeit von Informatik­pro­grammen, die unbemerkt auf Computern platziert werden sollen. Zudem verlangte der EDÖB eine klare Umschreibung des Personenkreises, auf den das Gesetz Anwendung finden soll.

 

Der Bundesrat legt im Rahmen von eHealth Schweiz besonderen Wert auf die Einhaltung von Daten­schutz­standards. Der EDÖB arbeitet an den Standards und Architekturen mit und setzt sich dafür ein, dass Grundsätzliches wie die informationelle Selbstbestimmung, eine dezentrale Struktur und die Zweck­bindung die Architektur prägen. Dabei konnte der EDÖB feststellen, dass die Sensibilität gegenüber datenschutzrechtlichen Problemen vorhanden ist.

 

Die RFID-Technologie findet zunehmend Verbreitung in der Produktebewirtschaftung, etwa in Bahn­bil­let­ten, Bibliotheksbüchern oder Waren zur Diebstahlsicherung. Daten, die auf RFID-tags gespei­chert und nicht speziell geschützt sind, können durch entsprechende Geräte ausgelesen oder mani­puliert werden, ohne dass Betroffene es merken. Das birgt beträchtliche Risiken für die Privat­sphäre, könnten so doch beispielsweise Einkaufs- oder Bewegungsprofile erstellt werden. Beim Einsatz von RFID gilt es also, Transparenz zu schaffen und die Systeme so auszugestalten, dass den Anfor­de­run­gen des Datenschutzes Genüge getan wird.

 

Auch der Einsatz biometrischer Daten wie zum Beispiel des Fingerabdrucks wird immer breiter. Dabei genügt es in vielen Fällen, statt des ganzen Abdrucks nur einen Extrakt daraus zu verwenden. Damit können die Risiken, die bei der Bearbeitung von biometrischen Daten anfallen, minimiert werden. Zudem ist in den wenigsten Fällen eine zentrale Speicherung der Daten nötig. Der EDÖB hat zu diesem Thema einen Leitfaden erarbeitet.

 

Computerprogramme, die eine zeitlich lückenlose Überwachung von Arbeitnehmern am Arbeits­platz erlauben, verletzen die Privatsphäre. Der Arbeitgeber darf wohl die Arbeitsleistung seiner Ange­stell­ten kontrollieren, aber keine rund-um-die-Uhr-Überwachung durchführen. Er muss den Gebrauch der zur Verfügung gestellten Informatikmittel (PC, Email, Internet etc.) in einem Nutzungsreglement festhalten und transparent machen, wie die Einhaltung dieser Regeln kontrolliert und allfällige Ver­stös­se sanktioniert werden.

 

Eine Pensionskasse, welche die persönlichen Ausweise statt direkt ihren Versicherten deren Arbeit­geber zustellt, verletzt das Legalitätsprinzip und die sozialversicherungsrechtliche Schweige­pflicht. Besagte Vorsorgeeinrichtung, die den EDÖB schon im letzten Jahr beschäftigt hat, hat dessen ent­sprechende Empfehlung abgelehnt. Er hat daraufhin dem Eidgenössischen Depar­te­ment des Innern (EDI) einen Antrag auf Entscheid in dieser Angelegenheit gestellt.

 

Auch der Fall des Sport- und Freizeitzentrums KSS hat den EDÖB im abgelaufenen Tätigkeitsjahr weiter beschäftigt, kam jedoch zu einem befriedigenden Abschluss. Das Bundesverwaltungsgericht hatte die Ausgestaltung des biometrischen Zugangssystems dieses Zentrums zu beurteilen und hiess die Klage des EDÖB gut, während es gleichzeitig einige Klarstellungen zu Datenschutzfragen in die­sem Bereich vornahm. Der EDÖB begrüsst das Urteil, das mittlerweile rechtskräftig ist.

 

Auch im Bereich des Öffentlichkeitsprinzips liegt ein reich befrachtetes Jahr hinter dem EDÖB. Während die Anzahl der Zugangsgesuche bei den Departementen und Bundesämtern in etwa gleich blieb, nahm die Zahl der Schlichtungsanträge an den EDÖB beträchtlich zu. Es zeichnet sich seit der Einführung des Öffentlichkeitsgesetzes vor 4 Jahren die Tendenz ab, dass prozentual immer we­niger vollständige Verweigerungen ausgesprochen, dafür mehr teilweise Zugänge gewährt werden.

 

Weitere Themen des 17. Tätigkeitsberichts werden im Résumé anbei zusammengefasst.



Herausgeber

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
http://www.edoeb.admin.ch/

Letzte Änderung 24.01.2018

Zum Seitenanfang

https://www.admin.ch/content/gov/de/start/dokumentation/medienmitteilungen.msg-id-33942.html