Sachverhaltsabklärung zum kostenlosen Internet der SBB

In Zusammenhang mit dem kostenlos angebotenen WiFi der SBB führten wir eine Sachverhaltsabklärung durch. Dabei stellten wir verschiedene Mängel fest, weshalb wir Empfehlungen erliessen. In der Folge haben die SBB die Datenschutzbestimmungen des Dienstes und die Aufbewahrungsdauer der Userdaten angepasst.

Bereits im Herbst 2013 hatten wir die SBB wegen ihrem WLAN-Angebot «SBB-free» kontaktiert. Unserer Aufforderung, die Allgemeinen Geschäftsbedingungen (AGB) zu diesem Dienst anzupassen, kamen sie jedoch nicht nach (vgl. Ziffer 1.3.4 unseres 22. Tätigkeitsberichts). Daraufhin führten wir eine Sachverhaltsabklärung bei den SBB durch.

Um das kostenlose WLAN an den Bahnhöfen zu nutzen, müssen sich die Kunden registrieren lassen. Bei der Registrierung müssen sie ihre Mobiltelefonnummer angeben, die AGB annehmen und den Zugangscode anfordern. Die Registrierung ist abgeschlossen, sobald der per SMS zugestellte Code eingegeben wurde. Die AGB zu «SBB-free» und weiterführende Informationen haben die SBB auf ihrer Internetseite publiziert.

Zum Zeitpunkt unserer Sachverhaltsabklärung wurden die in Zusammenhang mit «SBB-free» erhobenen Daten einzig für die Erbringung des Dienstes, für die Behandlung von Auskunftsgesuchen sowie gestützt auf das Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) benutzt. Entgegen damals anderslautenden AGB wurden die Daten weder zur Optimierung der «Personenhydraulik» noch zur Analyse des Reiseverhaltens der Kunden, noch zur Generierung spezifischer Meldungen im Bereich der Kundeninformation bearbeitet. Die gestützt auf das BÜPF erhobenen Daten wurden erst nach neun Monaten gelöscht. Im Laufe unserer Abklärungen passten die SBB ihre AGB ein erstes Mal an.

Gestützt auf unsere Abklärungen machten wir zwei Empfehlungen, die beide die Datenbearbeitung in Zusammenhang mit dem BÜPF betrafen. Wir empfahlen den SBB, nur diejenigen Daten zu bearbeiten, die effektiv unter das BÜPF fallen und insbesondere die Daten «Ziel IP Adresse» und «Ziel Port» nicht mehr zu erheben. Weiter verlangten wir, die Nutzungs- und Randdaten nur so lange wie im Gesetz vorgesehen, nämlich sechs und nicht neun Monate, aufzubewahren. Zudem machten wir gegenüber den SBB zwei Verbesserungsvorschläge. Einerseits schlugen wir vor, für die Behandlung der Auskunftsgesuche ein dokumentiertes Verfahren auszuarbeiten. Andererseits forderten wir die SBB auf, ihre AGB an die effektiv getätigten Datenbearbeitungen anzupassen.

Die SBB nahmen unsere zweite Empfehlung sowie unsere beiden Verbesserungsvorschläge an. Gleichzeitig hielten sie fest, unserer ersten Empfehlung nicht folgen zu können, da ihnen der Dienst für die Überwachung des Post- und Fernmeldeverkehrs (Dienst ÜPF) dringend geraten habe, die obengenannten Daten für die Strafverfolgungsbehörden weiterhin zu speichern.

Wir sind allerdings der Auffassung, dass die Protokollierung von «Ziel IP Adresse» und «Ziel Port» im jetzigen BÜPF nicht vorgesehen ist. Aufgrund der zurzeit laufenden Revision des BÜPF sehen wir jedoch momentan davon ab, diesen Punkt durch die zuständigen Behörden beurteilen zu lassen. Folglich erklärten wir die Sachverhaltsabklärung für abgeschlossen, behielten uns jedoch ausdrücklich vor, die Frage der Protokollierung von «Ziel IP Adresse» und «Ziel Port» zu einem späteren Zeitpunkt nochmals aufzugreifen und gegebenenfalls gerichtlich durchzusetzen (vgl. auch Ziffer 1.4.1 des vorliegenden Tätigkeitsberichts).

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/23--taetigkeitsbericht-2015-2016/sachverhaltsabklaerung-zum-kostenlosen-internet-der-sbb.html