Welche Daten dürfen erhoben werden?
Bei Karten mit kurzer Gültigkeitsdauer (bis 3 Tage): keine Personendaten
Bei Karten mit mittlerer Gültigkeitsdauer (ab 3 Tagen): Gesichtsfotografie
Bei Saison- und Jahreskarten: Gesichtsfotografie und Personalien
Wie lange dürfen die Daten gespeichert werden?
Sämtliche Daten in der zentralen Datenbank müssen nach Ablauf der Gültigkeitsdauer der Karten gelöscht werden. Erlaubt ist jedoch eine angemessene längere Frist für Verlängerung und Erneuerung der Karte.
Dasselbe gilt für Systeme mit Fotovergleichs-Funktion wie Photo Compare, die den Kunden beim Passieren des Drehkreuzes fotografieren: Diese Funktion sollte nur bei Karten mit mittlerer oder langer Gültigkeitsdauer eingesetzt werden. Die Personendaten dürfen nur so lange gespeichert werden, als sie für die Aufdeckung eines Missbrauchsfalls tatsächlich benötigt werden. Keinesfalls dürfen die Daten über die Gültigkeitsdauer der Karte hinaus aufbewahrt werden.
Logdaten dürfen nur so lange gespeichert werden, als sie für die Aufdeckung eines Missbrauchsfalls oder aufgrund allfälliger gesetzlicher Aufbewahrungspflichten (z.B. für die Buchhaltung) tatsächlich erforderlich sind. Will man die Daten für statistische Zwecke weiterverwenden, sind sie zu anonymisieren.
Zu welchen Zwecken dürfen die Daten verwendet werden?
Die erhobenen Daten dürfen grundsätzlich nur für die Zutrittskontrolle eingesetzt werden. Will man sie auch für andere Zwecke (z.B. Versand von Werbung) verwenden, braucht es die vorgängige Einwilligung des Kunden. Eine Ausnahme ist die Verwendung der Logdaten für die Suche vermisster Personen, welche stets möglich ist.
Wer darf Zugang zu den Daten haben?
Grundsätzlich dürfen nur diejenigen Personen Zugang zu den Daten haben, die sie für die Aufgabenerfüllung benötigen, d.h. die für die Zutrittskontrolle verantwortlich sind. Im System können unterschiedliche Berechtigungen vergeben werden. Diese sollten so restriktiv wie möglich gehandhabt werden.
Der Datenspeicher ist in einem verschlossenen Raum aufzubewahren. Die Zutrittsberechtigungen zu diesem Raum sollte auf ein Minimum an Personen beschränkt werden.
Die Kontrollbildschirme sind so aufzustellen, dass nur das Kontrollpersonal Einsicht hat. Es sollte dabei nur das Foto angezeigt werden; weitere Daten, wie z.B. die Personalien, hingegen nicht. Das Foto sollte nur so lange angezeigt werden, wie dies für die Kontrolle notwendig ist.
Dürfen die Daten weitergegeben werden?
Die Daten dürfen nur dann an Dritte weitergeben werden, wenn dies für eine wirksame Zutrittskontrolle notwendig ist (z.B. an die Mitglieder innerhalb eines Tarifverbundes) oder wenn die betroffene Person einer Weitergabe zugestimmt hat. Zudem müssen die Daten bei einer entsprechenden Beweisverfügung den Strafverfolgungsbehörden übergeben werden. Die Fernwartung der Datenbank durch den Systemhersteller gilt nicht als Weitergabe an Dritte und ist damit zulässig.
Wie müssen die Kunden über die Datenbearbeitungen informiert werden?
Die Kunden sind vorgängig darüber zu informieren, welche Daten erhoben werden, zu welchen Zwecken sie bearbeitet und wie lange sie gespeichert werden. Sie haben auch ein Recht darauf, zu erfahren, ob die Daten an Dritte weitergegeben werden oder insbesondere die Logdaten personenbezogen ausgewertet werden. Ausserdem gilt es, die Kunden auf allfällige Widerspruchsmöglichkeiten und die Modalitäten des Auskunftsrechts hinzuweisen. Auf Verlangen hin, ist jedem Kunden kostenlos Auskunft über die ihn betreffenden Daten zu erteilen.