Beginn Inhaltsbereich

Beginn Navigator

Verlaufsnavigation

Ende Navigator



17. Tätigkeitsbericht 2009/2010

Sie finden hier eine Auswahl an Artikeln des 17. Tätigkeitsberichts des EDÖB. Den vollständigen Text können Sie als PDF-Dokument herunterladen oder aber beim Bundesamt für Bauten und Logistik bestellen. Informationen dazu finden Sie im Kästchen rechts auf dieser Seite.

Vorwort

Goldgräberstimmung im Internet - das Ende der Privatsphäre?

Es vergeht kaum eine Woche, ohne dass Internetgiganten wie Google oder Facebook neue beeindruckende Dienstleistungen und Tools anbieten. Sie funktionieren immer nach dem gleichen Muster: Der Dienst ist gratis für alle, die Anbieter generieren ihre Einnahmen über die Werbung. Die Werbeeinnahmen steigen, je mehr Personen solche Dienste in Anspruch nehmen und je gezielter ihre Bedürfnisse analysiert werden können. Auf der Suche nach möglichst vielen Nutzern und Werbemöglichkeiten ziehen die Anbieter sämtliche Register. Einige Beispiele aus jüngster Vergangenheit:

Zertifizierung von Datenschutzmanagementsystemen: Akkreditierungen

Die Schweizerische Akkreditierungsstelle (SAS) hat erste private Unternehmen für die Datenschutzzertifizierung von Organisation und Verfahren akkreditiert. Wir haben sie dabei begleitet. Die akkreditierten Unternehmen werden auf der Internetseite der SAS publiziert.

Volkszählung 2010

2010 wird die Volkszählung, ermöglicht durch die Registerharmonisierung, erstmals nach dem neuen System durchgeführt. Neu werden im Rahmen der Volkszählung jedes Jahr grosse Datenmengen von Bürgerinnen und Bürgern erhoben und bearbeitet werden. Wir begleiteten verschiedene Projekte und konnten feststellen, dass die Akteure grundsätzlich für datenschutzrechtliche Fragestellungen sensibilisiert sind.

SAKE - Statistische Umfrage des Bundes per Telefon

Im Herbst 2009 galt für natürliche Personen erstmals eine Antwortpflicht für die SAKE, die Schweizerische Arbeitskräfteerhebung. Dieser Umstand und die Tatsache, dass die Erhebung telefonisch durch ein vom Bundesamt für Statistik (BFS) beauftragtes privates Institut durchgeführt wurde, führte zu einer Welle der Empörung und verunsicherte viele Bürgerinnen und Bürger. Wir standen dem BFS beratend zur Seite und nahmen dazu Stellung.

Das neue Humanforschungsgesetz

Der Entwurf des Humanforschungsgesetzes wurde im Oktober 2009 vom Bundesrat verabschiedet und dem Parlament zur Beratung überwiesen. Vorgängig konnten wir in einer Ämterkonsultation dazu Stellung nehmen. Der Gesetzesentwurf sieht die Schaffung einer Ausweichklausel für Forschende im Bereich der Weiterverwendung von biologischem Material und gesundheitsbezogenen Personendaten vor. Dies ist aus unserer Sicht höchst bedenklich.

Vernehmlassungsverfahren zum Bundesgesetz über die Unternehmensidentifikationsnummer

Anlässlich der verschiedenen Vernehmlassungsverfahren zum Bundesgesetz über die Unternehmensidentifikationsnummer haben wir auf die Möglichkeiten der Überwachung und Persönlichkeitsverletzungen in Verbindung mit der Verwendung einer solchen Nummer (UID) im Bereich Business to Business hingewiesen. Zudem haben wir empfohlen, einerseits ihre Verwendung in diesem Bereich zu verbieten oder zumindest einzuschränken. Andererseits sollte das BFS die UID nur mit der Einwilligung der betroffenen Person im Internet veröffentlichen.

Biometrische Zugangssysteme beim Sportzentrum KSS: Weitere Entwicklung

Das Bundesverwaltungsgericht erachtet die zentralisierte Speicherung biometrischer Daten im Rahmen der Zutrittskontrolle zu einem Sport- und Freizeitzentrum für die betroffenen Personen als eine unverhältnismässige Persönlichkeitsverletzung.

Stellungnahme zum geplanten Strassen­ver­kehrsunfallregister (Via Sicura)

Zum neu geplanten Strassenverkehrsunfallregister, bestehend aus einem Erfassungs- sowie einem Auswertungsregister, haben wir Stellung genommen. Da darin auch besonders schützenswerte Personendaten bearbeitet werden sollen, muss ein formelles Gesetz die Datenbearbeitung vorsehen.

Pranger für Raser?

Mit Bestimmtheit ist es nicht das Anliegen des Datenschutzes, verantwortungslose Raser zu schützen. Wir bezweifeln jedoch, dass der Pranger ein taugliches Mittel zur Abschreckung darstellt. Die Polizeihoheit in Sachen Ahndung von Verkehrsdelikten liegt bei den Kantonen. Mithin sind daher auch die kantonalen Datenschützer zu gemeinsam abgestimmtem Handeln aufgerufen.

Revision des Sportgesetzes

Im Rahmen der Totalrevision des Bundesgesetzes über die Förderung von Turnen und Sport haben wir zwei gesetzliche Grundlagen angeregt, die eine Basis für Dopingkontrollen schaffen und den Datenaustausch zwischen verschiedenen Dopingbekämpfungsstellen erleichtern sollen. Unsere Vorschläge wurden gutgeheissen und in das Gesetz integriert. Das revidierte Gesetz erhöht die Rechtssicherheit für Sportlerinnen und Sportler im Bereich der Dopingbekämpfung.

Datenschutz und RFID

Die meisten Bürger kennen die RFID-Technologie (Radio Frequency Identification) aus den Geschäften, in denen Schreib- und Lesegeräte bei der Kasse aufgestellt sind. Befindet sich ein nicht deaktivierter RFID-Chip noch an oder in einem Produkt, löst das Lesegerät beim Vorbeigehen einen Alarm aus. Solche Chips befinden sich zunehmend an Waren, aber auch in Bahnbilletten, in Bibliotheksbüchern, in Wegfahrsperren von Autos und bei der Fluggepäcksteuerung. Bei der RFID-Technologie besteht insbesondere das Risiko, dass Daten bearbeitet werden können, ohne dass die Betroffenen dies erkennen.

E-Government und der digitale Bürger

Die neue AHV-Nummer findet immer mehr Verbreitung als Personenidentifikator in verschiedenen E-Governmentprojekten. Dabei wird die Tatsache, dass die Verwendung der Nummer für diese Zwecke vorher gesetzlich geregelt werden muss, gerne übersehen.

Strassenansichten im Internet: Google Street View

Nach eingehender Prüfung des Dienstes Street View kamen wir zum Schluss, dass er aus datenschutzrechtlicher Sicht erhebliche Mängel aufweist. Zudem gingen bei uns zahlreiche Beschwerden von betroffenen Personen ein. Daher haben wir eine entsprechende Empfehlung erlassen und beim Bundesverwaltungsgericht Klage gegen Google eingereicht.

Strassenansichten im Internet: «Touchtown»

Auf der Webseite www.touchtown.ch betreibt eine Firma ein Konkurrenzprodukt zu Google Street View mit ganz ähnlichen Funktionen. Im Vergleich zu Google verfolgt die Annularspace GmbH jedoch einen anderen Ansatz bei der Datenerhebung, der von uns als datenschutzkonform erachtet wird

Auswertungen von Webseiten-Zugriffen

Google, Inc. bietet zur Auswertung von Zugriffen auf Webseiten einen Dienst mit dem Namen «Google Analytics» an. Dazu werden die notwendigen Informationen in die USA an die Server von Google übermittelt und dort analysiert. Da die Firma Safe-Harbor-zertifiziert ist, kann der Dienst unter gewissen Voraussetzungen sowohl von Bundesorganen als auch von Privaten genutzt werden, ohne dass dafür spezielle Garantien vereinbart werden müssten.

Umsetzung Schengen: Kontrolle des EDÖB bei der Bundeskriminalpolizei

Die erste Kontrolle der im Schengener Informationssystem vorgenommenen Datenbearbeitungen hat gezeigt, dass die Bundeskriminalpolizei als Endnutzerin die gesetzlichen Sicherheits- und Datenschutzanforderungen einhält.

Umsetzung Schengen: Koordinationsgruppe Schengen der Schweizerischen Datenschutzbehörden

Auf der Grundlage der entsprechenden Verordnung haben wir die Initiative zur Bildung einer Koordinationsgruppe der Schweizerischen Datenschutzbehörden im Rahmen der Umsetzung der Schengen-Assoziierungsabkommen ergriffen. 2009 haben wir diese Koordinationsgruppe zweimal einberufen.

Vorentwurf zur Revision des Bundesgesetzes über die Überwachung des Post- und Fernmeldeverkehrs

Im Rahmen der Ämterkonsultation zum Vorentwurf der Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs machten wir verschiedene datenschutzrechtliche Anmerkungen. Insbesondere bemängelten wir die ungenügenden Angaben zur Wirksamkeit des Einsatzes von Informatikprogrammen, die unbemerkt auf Informationsverarbeitungssystemen platziert werden sollen. Weiter beanstandeten wir den im Gesetz vage umschriebenen Begriff des Internetanbieters sowie die unklare Handhabung von Aufbewahrungsfristen.

eHealth: Beurteilung der empfohlenen Architektur

Die für eHealth empfohlene Architektur kann als datenschutzfreundlich qualifiziert werden. Wir haben uns insbesondere in der Kerngruppe des Teilprojekts Standards und Architekturen dafür eingesetzt, dass grundsätzliche Anforderungen wie die informationelle Selbstbestimmung, die dezentrale Struktur und die Zweckbindung die Architektur prägen.

Sammlung von Patientendaten für die medizinische Forschung

Wir haben festgestellt, dass die Spitäler, welche im Besitze einer generellen Bewilligung der Expertenkommission für die Offenbarung des Berufsgeheimnisses in der medizinischen Forschung sind, in vielen Fällen fälschlicherweise davon ausgehen, bei den betroffenen Patientinnen oder Patienten keine Einwilligung für die Forschungsarbeiten einholen zu müssen. Die Einwilligung muss bei einer generellen Bewilligung jedoch nur dann nicht eingeholt werden, wenn es unverhältnismässig schwierig, unmöglich oder unzumutbar wäre.

Case Management

Im Rahmen eines Case Managements werden besonders schützenswerte Personendaten bearbeitet. Da Case Manager sowohl im Interesse des Auftraggebers als auch der betroffenen Person handeln und sich dabei Interessenskonflikte ergeben können, müssen die Grundsätze der Zweckbindung und der Transparenz besonders gewissenhaft beachtet werden.

Registrierung der Datensammlungen von Krankenkassen

Die obligatorischen Krankenversicherungen gelten als Bundesbehörden und müssen ihre Datensammlungen bei uns anmelden oder einen Datenschutzverantwortlichen bezeichnen. Offenbar bestehen diesbezüglich gerade bei kleineren Krankenkassen noch Unklarheiten.

Sozialmissbrauchshotline

Eine politische Partei hat eine Telefonnummer bekannt gegeben, auf der Bürgerinnen und Bürger angeblichen Sozialmissbrauch melden können. In diesem Zusammenhang tauchten verschiedene rechtliche Fragen auf. Wir haben festgehalten, dass zwar ein öffentliches Interesse an der Bekämpfung des Sozialmissbrauchs besteht, es aber ausschliesslich eine Aufgabe der zuständigen Behörden ist, solche Informationen zu bearbeiten.

Anwesenheitskontrolle mittels Fingerabdrücken

Ein Unternehmen hat uns angefragt, wie ein System zur Kontrolle der Anwesenheit und zur Arbeitszeiterfassung von Mitarbeitenden mittels Fingerabdruck aufgebaut werden kann. Wir haben dem Unternehmen, um die Risiken bei der Bearbeitung von biometrischen Daten einzuschränken, empfohlen, nicht den Fingerabdruck selbst, sondern nur einen Extrakt daraus zu verwenden.

Spionagesoftware am Arbeitsplatz

Während des letzten Geschäftsjahres haben wir immer wieder Beschwerden über den Einsatz von diversen Computerprogrammen erhalten, die eine zeitlich lückenlose Überwachung von Arbeitnehmern am Arbeitsplatz erlauben. In allen Fällen konnten wir bewirken, dass die betroffenen Unternehmen ihre Praxis schliesslich datenschutzkonform gestalteten.

Gesundheitscheck für die Mitarbeiter der Post

Die Post stellte uns ein Gesundheitsmanagementprojekt vor. Es bezweckt im Wesentlichen gesundheitliche Prävention, Absenzenmanagement und auch Case Management für Unfall- oder Krankheitsfälle. Dabei fallen Gesundheitsdaten der Arbeitnehmer an, die vom Arbeitgeber bearbeitet werden. Wir haben das Projekt analysiert und nichts dagegen einzuwenden, sofern aus datenschutzrechtlicher Sicht bestimmte Bedingungen eingehalten werden.

Anmeldepflicht für ausländische Inhaber einer Datensammlung

Die Pflicht zur Anmeldung einer Datensammlung beim EDÖB ist eine öffentlich-rechtliche Bestimmung, auf welche das Territorialitätsprinzip Anwendung findet. Diese Pflicht entsteht für Privatpersonen, die regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeiten oder Personendaten an Dritte bekannt geben.

Bekanntgabe von Personendaten an Dritte durch Vereine zu Marketingzwecken

Ein Schweizer Sportverband hat von seinen Mitgliedervereinen eine Liste sämtlicher Vereinsmitglieder angefordert. Die Daten sollten zu Marketingzwecken verkauft werden. Mehrere Vereine haben uns gefragt, ob das entsprechende Vorgehen korrekt sei und ob sie die Personendaten weiterleiten dürften. Wir erklärten ihnen, dass sie für eine Weitergabe die Einwilligung der betroffenen Personen benötigen, und forderten den Verband auf, die Vereine auf diese Rechtslage hinzuweisen und allfällige bereits gelieferte Daten keinesfalls zu verwenden. Die Aufgabe, die Einwilligung der einzelnen Mitglieder einzuholen, könnte der Verein im Rahmen eines Outsourcings aber an den Verband übertragen.

Datenschutz im internationalen Zahlungsverkehr (SWIFT)

Im Rahmen des Streits um den Zugriff auf Finanztransaktionsdaten durch die USA, welche auf den Servern des Finanzdienstleisters SWIFT gespeichert wurden, hat dieser zwei neue Rechenzentren in der Schweiz eröffnet. Auf diese Weise soll den Bedenken der europäischen Datenschutzbehörden und des EDÖB Rechnung getragen werden. Zudem verhandelten die USA mit der EU über ein Abkommen, welches ihnen im Rahmen der Bekämpfung des internationalen Terrorismus den Zugriff auf die in der EU gespeicherten SWIFT-Daten ermöglichen sollte.

Totalrevision der Verordnung zum neuen Mehrwertsteuergesetz

Die Verordnung zum neuen Mehrwertsteuergesetz (MWSTV) sieht ein Abrufverfahren vor. Im Bereich der Steuergesetzgebung gilt das Legalitätsprinzip und darüber hinaus das Steuergeheimnis. Unsere Bemerkung bezüglich des Abrufverfahrens bzw. unser Vorschlag einer separaten Datenschutzverordnung ist im Entwurf zur MWSTV völlig ausser Acht gelassen worden. Deshalb fehlt nun eine genügende gesetzliche Grundlage für das Abrufverfahren.

Zugangsgesuche bei der Bundesverwaltung

Die Anzahl der eingereichten Zugangsgesuche ist im Vergleich zum Vorjahr etwa gleich geblieben. Über die Jahre hinweg zeigt sich, dass prozentual immer weniger vollständige Verweigerungen ausgesprochen werden, dafür werden mehr teilweise Zugänge gewährt. Schlichtungsanträge wurden im vergangenen Jahr deutlich mehr gestellt.

Schlichtungsanträge beim EDÖB

Im 2009 wurden insgesamt 41 Schlichtungsanträge eingereicht. Im Vorjahr waren es 25. Insgesamt konnten 29 Schlichtungsanträge abgeschlossen werden. In 9 Fällen konnte zwischen den Beteiligten eine Schlichtung erzielt werden. In 18 Fällen erliessen wir - da keine einvernehmliche Lösung möglich oder von vornherein ersichtlich war - Empfehlungen. Zum Teil wurden mehrere Schlichtungsanträge mit einer Empfehlung erledigt. Ein Antrag wurde zurückgezogen und in einem Fall wurde er nicht fristgerecht eingereicht.

Ende Inhaltsbereich