12. Tätigkeitsbericht 2004/2005

Sie finden hier eine Auswahl an Artikeln des 12. Tätigkeitsberichts des EDÖB. Den vollständigen Text können sie als PDF-Dokument herunterladen oder aber beim Bundesamt für Bauten und Logistik bestellen. Informationen dazu finden Sie im Kästchen rechts auf dieser Seite.

Gelegenheit macht Diebe – weiss der Volksmund. Auf den Datenschutz übertragen könnte man sagen: Jede neue Datenbank weckt den Appetit auf neue Nutzungen. Worin liegt das Problem?

Im Anschluss an zwei parlamentarische Motionen unterbreitete der Bundesrat den Eidgenössischen Räten am 19. Februar 2003 die Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) und zum Bundesbeschluss betreffend den Beitritt der Schweiz zum Zusatzprotokoll zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Die beiden Vorlagen werden gegenwärtig vom Bundesparlament geprüft.

Um eine Selbstregulierung einzuführen, welche die Verantwortung des Inhabers der Datensammlung stärkt und den Wettbewerb ankurbelt, sieht das neue DSG ein Zertifizierungsverfahren für Organisationen und für Produkte vor. Die vom Bundesamt für Justiz revidierte Verordnung über das DSG sollte die wesentlichen Bedingungen verankern, welchen die Zertifizierungsstellen mit Zustimmung der Schweizerischen Akkreditierungsstelle unterliegen. Gleichzeitig arbeiten wir an einem Standardrahmen für die Evaluation des erforderlichen Datenschutzniveaus, um die Mindestanforderungen an Datenschutz-Managementsysteme zu spezifizieren

Die Biometrie hat sich stark verbreitet und hält heute in der ganzen Zivilgesellschaft in automatisierten Authentifizierungs- und Identifizierungsverfahren Einzug: vom Zugang zu Schulkantinen über die Bezahlung von Fahrkarten, Arbeitszeit- und Anwesenheitskontrollen bis zur Zugangskontrolle zu Installationen oder Informatiksystemen. Der Einsatz der Biometrie beinhaltet Risiken für die Grundrechte und -freiheiten und hat sich zu einer grossen Herausforderung für den Datenschutz entwickelt. Der EDSB schlägt verschiedene Prinzipien vor, die im Bereich des Datenschutzes beachtet werden müssen.

In immer zahlreicheren Anwendungsgebieten werden Funkchips eingesetzt, die mit Hilfe von Radiowellen (der so genannten Radio Frequency Identification, RFID) berührungslos und ohne Sichtkontakt Daten lesen und speichern können. Während für gewisse Bereiche aus datenschutzrechtlicher Sicht keine Bedenken für die Verwendung von RFID-Chips anzubringen sind, bestehen in anderen erhebliche Risiken für die Privatsphäre der Bevölkerung. Daher müssen beim Einsatz der RFID-Technologie stets Vorkehrungen getroffen werden, um eine widerrechtliche Bearbeitung von Personendaten zu verhindern.

Im August 2004 ist in der Schweiz eine Bestimmung in Kraft getreten, die die Mobiltelefonanbieter verpflichtet, die Käufer von vorausbezahlten SIM-Karten zu registrieren. Die Wirksamkeit dieser mit grossem Aufwand verbundenen Massnahme ist allerdings fraglich.

Die Anwesenheitskontrolle am Arbeitsplatz wird heute zunehmend mit software-basierten Fingerabdruckkontrollsystemen durchgeführt. Die zentrale Speicherung von Fingerabdrücken ist datenschutzrechtlich bedenklich; es ist weit weniger prob-lematisch, nur die Minuzien in Verbindung mit der Identität zu speichern, sofern entsprechende Sicherheitsmassnahmen angewandt werden. Allerdings würde eine von jedem Beschäftigten beim Stempeln vorgewiesene und ausschliesslich von ihm verwendete Chipkarte mit biometrischen Daten eine verhältnismässigere und mit dem Datenschutz besser zu vereinbarende Lösung darstellen.

Moderne Motorfahrzeuge haben zunehmend neue Technologien (GPS, Chips) eingebaut, welche Informationen zu Routen und Fahrverhalten speichern. Das wirft datenschutzrechtliche Bedenken auf. Zunächst gilt es zu klären, ob es sich dabei überhaupt um Personendaten handelt. Wird diese Frage positiv beantwortet, stellt sich die Frage, welche Daten gespeichert und in welchem Umfang und zu welchem Zweck sie bearbeitet werden. Nicht zuletzt ist auch relevant, wie die gespeicherten Daten vor Zugriff geschützt sind.

Muss ein Garagist seine Kundendaten aus dem Abschluss eines Kaufvertrages an seinen Importeur weiterleiten? Für den betroffenen Garagisten mag es unbefriedigend sein, wenn der Importeur die Kunden direkt anschreibt und ihnen vorschlägt, zu einer anderen Garage, die weiterhin die Markenvertretung sicherstellt, zu wechseln. Unter bestimmten Voraussetzungen ist die Verwendung der Kundendaten durch den Importeur zulässig.