17. Tätigkeitsbericht
Bern, 28.06.2010 - Im vergangenen Tätigkeitsjahr beschäftigte sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) unter anderem mit verschiedenen aktuellen Entwicklungen, von welchen das Obligatorium für die Arbeitskräfteerhebung SAKE, die Forderungen nach einem Online-Pranger für Autoraser oder die Kontroverse um Online-Dienste wie Google Street View am meisten Aufsehen erregten. Auf Hinweise Dritter hin traf er aber auch Abklärungen bei einem Gentestanbieter, beurteilte die Rechtmässigkeit von Videoaufnahmen mittels Drohnen, liess die Verhältnismässigkeit von Bonitätsdatenbearbeitungen in einem Gutachten untersuchen, verfasste Erläuterungen zum betrieblichen Datenschutzverantwortlichen und nahm Stellung zur Bekanntgabe von Personendaten an Dritte durch Vereine zu Marketingzwecken. Einen besonderen Schwerpunkt legte der EDÖB im Berichtsjahr, das den Zeitraum vom 1. April 2009 bis 31. März 2010 umfasst, auf die Sensibilisierung von Kindern und Jugendlichen. Im Zusammenhang mit Schengen nahm der EDÖB mehrere Kontrollen vor und die Zusammenarbeit mit den Kantonen auf. Weiter brachte der EDÖB Vorbehalte an zum Vorentwurf zur Revision des Bundesgesetzes über die Überwachung des Post- und Fernmeldeverkehrs, beurteilte die für eHealth Schweiz empfohlene Architektur und erläuterte in einem Vortrag an der ETH Zürich die Sicht des Datenschutzes auf den Einsatz von RFID-Chips. Wie jedes Jahr beschäftigten den EDÖB auch Themen rund um den Datenschutz am Arbeitsplatz, so etwa die Frage nach dem korrekten Einsatz von Fingerabdrücken zur Anwesenheitskontrolle oder das Problem von Spionagesoftware. Der bereits letztes Jahr erwähnte Fall der Pensionskasse, die die persönlichen Ausweise ihrer Versicherten nicht datenschutzkonform verschickt, fand ebenso eine Fortsetzung vor höherer Instanz wie der Fall des Sportzentrums KSS, das die Empfehlungen des EDÖB bezüglich biometrischer Zugangskontrolle abgelehnt hatte und nun vom Bundesverwaltungsgericht zur Ordnung gerufen wurde. Der Bericht resümiert auch die Arbeit des EDÖB im Rahmen des Bundesgesetzes über das Öffentlichkeitsprinzip während des vergangenen Jahres.
Das neu eingeführte Antwortobligatorium für die Arbeitskräfteerhebung SAKE erregte im vergangenen Herbst ebenso die Gemüter wie die Tatsache, dass die Erhebung telefonisch durch ein vom Bundesamt für Statistik (BFS) beauftragtes privates Institut durchgeführt wurde. Der EDÖB hat dem BFS verschiedene Massnahmen vorgeschlagen, um das Vertrauen der Bevölkerung in die datenschutzkonforme Bearbeitung der erhobenen Daten zu festigen.
Im Nachgang zu tragischen Verkehrsunfällen, verursacht durch verantwortungsloses Fahren, wurde vermehrt die Forderung nach Veröffentlichung der Täternamen laut. Der EDÖB bezweifelt jedoch die präventive Wirkung eines solchen Internetprangers und befürchtet, es könnte sich daraus eher eine Rangliste entwickeln. Viel effektiver wären strengere Strafmassnahmen wie bspw. der Entzug des Führerausweises auf lange Zeit.
Im August letzten Jahres schaltete Google den Dienst Street View online. Er wies aus datenschutzrechtlicher Sicht erhebliche Mängel auf, und zahlreiche Betroffene gelangten mit Beschwerden an den EDÖB. Nachdem Google verschiedene Empfehlungen zur Verbesserung des Persönlichkeitsschutzes mehrheitlich ablehnte, reichte der EDÖB Klage vor Bundesverwaltungsgericht ein.
Aufgrund von Hinweisen aus der Bevölkerung hat der EDÖB bei einer Firma in Zürich, welche Vaterschaftstests und Herkunftsanalysen (Genealogietests) anbietet, eine Sachverhaltsabklärung durchgeführt. Sie ergab kleinere Mängel in Bezug auf die Transparenz, welche von der Firma umgehend behoben wurden. Damit erübrigten sich weitere Schritte.
Auf Anfrage des Bundesamts für Zivilluftfahrt (BAZL) führte der EDÖB aus, welche Kriterien bei Videoaufnahmen aus Drohnen oder anderen Luftfahrzeugen zu beachten sind. Dazu zählt unter anderem, dass ein Rechtfertigungsgrund vorliegen muss, aber auch Transparenz gegenüber den Betroffenen, angemessener Schutz der Daten vor unberechtigten Zugriffen sowie eine rasche Löschung der Daten.
Der EDÖB liess die Frage, wie lange Kreditauskunfteien betreibungsrechtliche Daten bearbeiten und weitergeben dürfen, in einem Gutachten klären. Es hält fest, dass die gesetzlichen Schranken des Bundesgesetzes über Schuldbetreibung und Konkurs (SchKG) für die Verhältnismässigkeit der Bearbeitungsdauer relevant sind, obwohl das Gesetz gegenüber den Auskunfteien nicht direkt Pflichten festlegt. Der EDÖB informierte das Bundesamt für Justiz und die Auskunfteien über die Ergebnisse und unterstrich nicht zum ersten Mal, wie bedeutsam Betreibungsdaten und deren Weitergabe durch Auskunfteien an Dritte im heutigen Wirtschaftsleben sind.
Mit der Revision des Datenschutzgesetzes, in Kraft seit 2008, können Unternehmen davon absehen, ihre Datensammlungen beim EDÖB anzumelden, wenn sie einen Datenschutzverantwortlichen ernennen und den EDÖB darüber informieren. Die Mindestanforderungen an Stellung und fachliche Eignung eines solchen Verantwortlichen hat der EDÖB in den Erläuterungen zum betrieblichen Datenschutzverantwortlichen festgehalten.
Der Umgang mit Mitgliederdaten in Verbänden und Vereinen gab auch dieses Jahr wieder zu Fragen Anlass. Der EDÖB beriet einzelne Sportvereine und ihren Dachverband zur Weitergabe von Mitgliederdaten zu Marketingzwecken, die grundsätzlich nur mit der Einwilligung der Mitglieder geschehen darf. Statt dass nun aber jeder Verein diese Erlaubnis gesondert einholen muss, was viele Kapazitäten binden würde, ist es aus Sicht des EDÖB denkbar, dass der Dachverband diese Aufgabe übernimmt, einmalig alle Mitglieder anfragt und danach nur noch die Daten bearbeitet, für die ihm eine Einwilligung vorliegt.
Zahlreiche Angebote im Internet und in der Mobiltelephonie richten sich auch oder spezifisch an Jugendliche. Nicht selten gefährden junge User dabei ihre Privatsphäre, weil sie sich der Gefahren, die im Netz lauern, zuwenig bewusst sind. Der EDÖB hat sich daher im abgelaufenen Tätigkeitsjahr besonders auf die jüngeren Generationen konzentriert, mit der Absicht, sie, aber auch Eltern und Lehrer, für Datenschutzfragen zu sensibilisieren. Im Rahmen des 4. Europäischen Datenschutztages fanden entsprechende Veranstaltungen statt, und der EDÖB liess ein Ausbildungstool für Jugendliche und Lehrkräfte entwickeln, mit dem die Schülerinnen und Schüler im Unterricht datenschützerisches Know-how lernen. Weiter hat er umfassende Informationen auf seiner Webseite veröffentlicht.
In Bezug auf die Personendatenbearbeitungen im Schengener Informationssystem SIS hat der EDÖB als Aufsichtbehörde über die Bundesorgane in Sachen Datenschutz mehrere Kontrollen durchgeführt. So überprüfte er die diplomatische Vertretung der Schweiz in Kairo, aber auch die Datenbearbeitungen durch die Bundeskriminalpolizei. Zudem berief der EDÖB die Koordinationsgruppe der Schweizerischen Datenschutzbehörden zweimal zu Sitzungen ein.
Im Rahmen der Ämterkonsultation zum Vorentwurf der Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs bemängelte der EDÖB unter anderem die unklare Handhabung des Auskunftsrechts und die ungenügenden Angaben zur Wirksamkeit von Informatikprogrammen, die unbemerkt auf Computern platziert werden sollen. Zudem verlangte der EDÖB eine klare Umschreibung des Personenkreises, auf den das Gesetz Anwendung finden soll.
Der Bundesrat legt im Rahmen von eHealth Schweiz besonderen Wert auf die Einhaltung von Datenschutzstandards. Der EDÖB arbeitet an den Standards und Architekturen mit und setzt sich dafür ein, dass Grundsätzliches wie die informationelle Selbstbestimmung, eine dezentrale Struktur und die Zweckbindung die Architektur prägen. Dabei konnte der EDÖB feststellen, dass die Sensibilität gegenüber datenschutzrechtlichen Problemen vorhanden ist.
Die RFID-Technologie findet zunehmend Verbreitung in der Produktebewirtschaftung, etwa in Bahnbilletten, Bibliotheksbüchern oder Waren zur Diebstahlsicherung. Daten, die auf RFID-tags gespeichert und nicht speziell geschützt sind, können durch entsprechende Geräte ausgelesen oder manipuliert werden, ohne dass Betroffene es merken. Das birgt beträchtliche Risiken für die Privatsphäre, könnten so doch beispielsweise Einkaufs- oder Bewegungsprofile erstellt werden. Beim Einsatz von RFID gilt es also, Transparenz zu schaffen und die Systeme so auszugestalten, dass den Anforderungen des Datenschutzes Genüge getan wird.
Auch der Einsatz biometrischer Daten wie zum Beispiel des Fingerabdrucks wird immer breiter. Dabei genügt es in vielen Fällen, statt des ganzen Abdrucks nur einen Extrakt daraus zu verwenden. Damit können die Risiken, die bei der Bearbeitung von biometrischen Daten anfallen, minimiert werden. Zudem ist in den wenigsten Fällen eine zentrale Speicherung der Daten nötig. Der EDÖB hat zu diesem Thema einen Leitfaden erarbeitet.
Computerprogramme, die eine zeitlich lückenlose Überwachung von Arbeitnehmern am Arbeitsplatz erlauben, verletzen die Privatsphäre. Der Arbeitgeber darf wohl die Arbeitsleistung seiner Angestellten kontrollieren, aber keine rund-um-die-Uhr-Überwachung durchführen. Er muss den Gebrauch der zur Verfügung gestellten Informatikmittel (PC, Email, Internet etc.) in einem Nutzungsreglement festhalten und transparent machen, wie die Einhaltung dieser Regeln kontrolliert und allfällige Verstösse sanktioniert werden.
Eine Pensionskasse, welche die persönlichen Ausweise statt direkt ihren Versicherten deren Arbeitgeber zustellt, verletzt das Legalitätsprinzip und die sozialversicherungsrechtliche Schweigepflicht. Besagte Vorsorgeeinrichtung, die den EDÖB schon im letzten Jahr beschäftigt hat, hat dessen entsprechende Empfehlung abgelehnt. Er hat daraufhin dem Eidgenössischen Departement des Innern (EDI) einen Antrag auf Entscheid in dieser Angelegenheit gestellt.
Auch der Fall des Sport- und Freizeitzentrums KSS hat den EDÖB im abgelaufenen Tätigkeitsjahr weiter beschäftigt, kam jedoch zu einem befriedigenden Abschluss. Das Bundesverwaltungsgericht hatte die Ausgestaltung des biometrischen Zugangssystems dieses Zentrums zu beurteilen und hiess die Klage des EDÖB gut, während es gleichzeitig einige Klarstellungen zu Datenschutzfragen in diesem Bereich vornahm. Der EDÖB begrüsst das Urteil, das mittlerweile rechtskräftig ist.
Auch im Bereich des Öffentlichkeitsprinzips liegt ein reich befrachtetes Jahr hinter dem EDÖB. Während die Anzahl der Zugangsgesuche bei den Departementen und Bundesämtern in etwa gleich blieb, nahm die Zahl der Schlichtungsanträge an den EDÖB beträchtlich zu. Es zeichnet sich seit der Einführung des Öffentlichkeitsgesetzes vor 4 Jahren die Tendenz ab, dass prozentual immer weniger vollständige Verweigerungen ausgesprochen, dafür mehr teilweise Zugänge gewährt werden.
Weitere Themen des 17. Tätigkeitsberichts werden im Résumé anbei zusammengefasst.
Herausgeber
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
http://www.edoeb.admin.ch/