13. Tätigkeitsbericht 2005/2006

Sie finden hier eine Auswahl an Artikeln des 13. Tätigkeitsberichts des EDÖB. Den vollständigen Text können sie als PDF-Dokument herunterladen oder aber beim Bundesamt für Bauten und Logistik bestellen. Informationen dazu finden Sie im Kästchen rechts auf dieser Seite.

Höhepunkt dieses Berichtsjahrs war zweifellos die von uns organisierte 27. Internationale Konferenz der Beauftragten für Datenschutz und den Schutz der Privatsphäre vom 14. bis 16. September in Montreux. Über 350 Teilnehmer aus der ganzen Welt trugen zur grossen nationalen und internationalen Beachtung der äusserst gehaltvollen Konferenz unter dem Generalthema „Ein universelles Recht auf den Schutz personenbezogener Daten und der Privatsphäre unter Beachtung der Vielfalt in einer globalisierten Welt“ bei. Sie gipfelte in der Annahme einer Schlusserklärung, mit der die Universalität der Datenschutzprinzipien bekräftigt wurde. Wir sind überzeugt, dass diese Erklärung von Montreux der internationalen Verbreitung und Vertiefung des Persönlichkeitsschutzes einen wesentlichen Impuls geben wird. An dieser Stelle bleibt mir, allen, die zum Gelingen dieses wichtigen Anlasses beigetragen haben, herzlich zu danken, insbesondere auch der Bundeskanzlerin, die mit einem massgeblichen finanziellen Beitrag aus ihrem Budget das Vorhaben überhaupt erst ermöglichte. Daneben verabschiedete die Konferenz zwei wichtige Resolutionen. Die eine behandelt die Verwendung von biometrischen Daten in Pässen, Identitätskarten und Reisedokumenten, die andere befasst sich mit der Verwendung von Personendaten für die politische Kommunikation (vgl. dazu den ausführlichen Bericht, Ziffer 9.2.1).

In Rahmen der Revision zum DSG ist ein freiwilliges Datenschutz-Zertifizierungsverfahren vorgesehen. Betreffend die Zertifizierung von Organisationen soll Zertifizierungsfirmen ein Referenzmodell in zwei Teilen zur Beurteilung vorgelegt werden. Der erste Teil betrifft die von einem Datenschutzmanagementsystem zu erfüllenden Anforderungen, während sich der zweite Teil auf ein Konformitätsprüfungsschema, das heisst auf die aus dem DSG abgeleiteten konkreten Datenschutzerfordernisse, konzentriert.

Die Übermittlung von Personendaten betreffend die Passagiere an die US-Behörden durch Fluggesellschaften, welche der schweizerischen Datenschutzgesetzgebung unterstellt sind, ist in einem Abkommen zwischen der Schweiz und den Vereinigten Staaten geregelt. Dieses wurde vom Bundesrat am 4. März 2005 genehmigt. In diesem Abkommen bieten die US-amerikanischen Behörden die gleichen Garantien, wie sie der Europäischen Union zugestanden werden. Unter dem Blickwinkel des Datenschutzes kann dieses Abkommen als annehmbar beurteilt werden. Ein ähnliches Abkommen wurde am 16. März 2006 mit Kanada abgeschlossen.

Im Hinblick auf die Volkszählung 2010 wurde die Harmonisierung der Personenregister vorangetrieben. Als Verknüpfungsmittel zwischen den einzelnen Registern sollte ein Personenidentifikator eingeführt werden. Diesbezüglich wurden mehrere Projekte ausgearbeitet. Das neuste sieht eine Registerharmonisierung vor, mit der neuen AHV-Nummer als gemeinsamem Merkmal in den einzelnen Registern. Für die registergestützte Volkszählung sollten aber auch andere Modelle in Betracht gezogen werden.

Das Grenzwachtkorps möchte die Landesgrenzen mit Aufklärungsdrohnen der Armee überwachen lassen. Diese Aufklärungsflüge erlauben jedoch nicht nur die (unbestrittene) Überwachung von illegalen Grenzübertritten. Ins Blickfeld der Drohnenkameras gelangt auch eine Vielzahl von unbescholtenen Einwohnern. Der Drohneneinsatz muss in einem Bundesgesetz ausdrücklich und ausreichend geregelt sein.

Eine Privatperson darf Daten aus dem Handelsregister nur verwenden und weiterbearbeiten, wenn sie dafür einen Rechtfertigungsgrund vorweisen kann. Der Rechtfertigungsgrund der Kreditprüfung ist nur gegeben, wenn der Dritte ein Interesse am Erhalt dieser Daten nachweisen kann.

Immer häufiger werden an öffentlichen Anlagen biometrische Zugangskontrollen durchgeführt. Um auf die Bedenken der betroffenen Abonnementinhaber einzugehen, haben wir beschlossen, das in einem privaten Sportzentrum eingerichtete neue biometrische Zugangskontrollsystem einer Prüfung zu unterziehen. Wir sind derzeit dabei, die gesammelten Daten zu analysieren, indem wir sie nach den grundlegenden Datenschutzprinzipien beurteilen.

Am Flughafen Zürich-Kloten wurde von Dezember 2004 bis Mitte April 2005 das Pilotprojekt Secure Check durchgeführt. Secure Check dient der Verbesserung der Sicherheitsüberprüfung von Passagierdaten sowie Reisedokumenten vor Abflug mittels biometrischer Daten und soll dazu beitragen, die Wartezeiten für Flugpassagiere an den Checkpoints zu verkürzen. Bei der Datenschutzkontrolle des Einsatzes von Biometrie beim Check-In und Boarding sind wir zu einer überwiegend positiven Beurteilung der Handhabung biometrischer Personendaten gekommen. Dennoch drängen sich beim Einsatz von Biometrie am Flughafen Zürich-Kloten einige grundsätzliche Überlegungen auf.

Die Veranstalter von Sport-Grossanlässen haben in den vergangenen Jahren vermehrt so genannt personalisierte Ticketverkäufe vorgenommen. Parallel dazu schreiten auf staatlicher Seite die Gesetzgebungsarbeiten zur Bekämpfung der Gewalt an Sport-Massenveranstaltungen (Hooliganismus) voran. Wir begleiten einerseits diese Gesetzgebungsarbeiten im Bereich öffentliche Sicherheit. Andererseits führen wir im Hinblick auf die EURO 08 Abklärungen bei den für den Ticketverkauf verantwortlichen Organen durch, soweit diese ihren Sitz in der Schweiz haben.

Wir wurden im Rahmen der Ämterkonsultation eingeladen, zu zwei aufeinander folgenden Revisionsentwürfen zum Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit (BWIS II) Stellung zu nehmen. In unserer Stellungnahme zum ersten Entwurf sind wir zum Schluss gekommen, dass die vorgesehenen neuen Massnahmen die Grundrechte verletzen und namentlich einen schweren Eingriff in die Privatsphäre darstellen. Betreffend den zweiten Entwurf haben wir – trotz der darin vorgenommenen Änderungen – an unserer Kritik festgehalten und die Meinung vertreten, dass der neue Revisionsentwurf nicht mit den Grundsätzen des Datenschutzes vereinbar ist.

Im Rahmen der Ämterkonsultation nahmen wir zum Entwurf der Änderung des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit (Bundesgesetz über Massnahmen gegen Gewaltpropaganda und Gewalt anlässlich von Sportveranstaltungen) Stellung (BWIS I). Mit diesem Gesetz soll unter anderem die so genannte „Hooligandatenbank“ eingeführt werden. Obwohl verschiedene unserer Bemerkungen in den Gesetzesentwurf aufgenommen wurden, gibt es immer noch einige Differenzen und offene Fragen. Im Anschluss an unsere Stellungnahme hielten wir auf Anfrage weiter fest, dass der Einsatz eines biometrischen Gesichtserkennungssystems durch den vorliegenden Gesetzesentwurf nicht gedeckt ist.

Ab September 2006 werden in der Schweiz im Rahmen einer 5-jährigen Pilotphase biometrische Pässe ausgestellt. Wir sind während der Planungsphase mit den verantwortlichen Stellen des Bundesamtes für Polizei in Kontakt getreten, um uns über die Einhaltung des Datenschutzes zu vergewissern. Zugleich haben wir uns im Rahmen der Vernehmlassung zum Ausweisgesetz und der Ausweisverordnung geäussert. Unverhältnismässig erscheint uns bei der Gesetzesrevision, dass die biometrischen Daten der Passinhaber in einer zentralen Datenbank gespeichert werden sollen.

Biobanken vereinigen eine Menge von Daten über eine Person. Nebst Gesundheits- und Lifestyledaten wird auch biologisches Material gesammelt (Blut, DNA, Gewebe, Zelllinien) und zu Forschungszwecken weiterbearbeitet. Wie ist mit dem biologischen Material umzugehen und welche Anforderungen sind an die Einwilligung der Betroffenen zu stellen, ohne die Forschung zu verunmöglichen? Wie kann eine missbräuchliche Verwendung der gewonnenen (genetischen) Daten verhindert werden? Wir haben an verschiedenen Veranstaltungen teilgenommen, die sich mit diesen Fragen auseinandergesetzt haben. Die Schweizerische Akademie der Medizinischen Wissenschaften (SAMW) hat zudem jüngst eine Richtlinie in die Vernehmlassung geschickt, welche dem Daten- und Persönlichkeitsschutz bei Biobanken einen hohen Stellenwert einräumt.

Der Computer ist inzwischen fester Bestandteil einer Arztpraxis, zumal ab 2006 medizinische Leistungen elektronisch abgerechnet werden müssen. Die geplante Einführung der Versichertenkarte begünstigt diese Entwicklung ebenfalls stark. Anfragen bei uns zeigen, dass eine Verunsicherung bei den Leistungserbringern besteht, wie einerseits eine Öffnung und andererseits der Schutz der elektronischen Praxis gewährleistet werden kann. Lösungsmöglichkeiten sind eine logische oder eine physische Trennung der Daten.

In der revidierten Version des Bundesgesetzes über die Krankenversicherung hat der Gesetzgeber der Einführung einer Versichertenkarte in der Schweiz das nötige gesetzliche Fundament gegeben. Das Bundesamt für Gesundheit wurde damit beauftragt, die Grundlagen für die Einführung der Karte zu erarbeiten. Wir begleiten das Projekt seit dessen Beginn.

Im Rahmen der Ämterkonsultation zur 5. IV-Revision nahmen wir erneut zu datenschutzrechtlichen Fragen Stellung. Der Bundesrat hat die Botschaft sowie den Gesetzestext schliesslich verabschiedet. Die Botschaft ist jedoch aus datenschutzrechtlicher Sicht unbefriedigend. Die 5. IV-Revision ist zur Zeit im Parlament hängig.

Die Einwilligungsklauseln betreffend Datenbearbeitungen in Kreditkartenanträgen geben regelmässig Anlass zu Fragen und Kritik seitens der Bevölkerung. Wir haben deshalb die entsprechenden Formulierungen wichtiger Kartenherausgeber genauer betrachtet und im Hinblick auf die dahinter stehenden Datenbearbeitungen beurteilt. Wir kommen zum Schluss, dass sich diese Klauseln schlimmer lesen als sie eigentlich sind. Mit dem Ziel, die Transparenz in diesem Bereich zu erhöhen, haben wir beschlossen, Standard-Minimalklauseln zu erarbeiten und den Kreditkartenherausgebern zur Verfügung zu stellen.

Die Übermittlung von Personendaten durch Postfinance an ein Bankinstitut auf amerikanischem Staatsgebiet muss auf einem Rechtfertigungsgrund beruhen, und die betroffene Person muss angemessen informiert werden. Auf unser Einschreiten hin hat Postfinance ihre Praxis angepasst und Massnahmen vorgeschlagen, die unseren Bemerkungen Rechnung tragen.

Die 27. Internationale Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre fand vom 14. bis 16. September 2005 in Montreux statt. An dieser vom EDSB organisierten Tagung kamen die Datenschutzbehörden aus rund 40 Ländern der ganzen Welt zusammen. Sie endete mit der Annahme einer Erklärung, mit der die Universalität der Datenschutzprinzipien untermauert werden sollte. Die europäischen Datenschutzbeauftragten verabschiedeten auch eine Resolution zur Verwendung von biometrischen Daten in Pässen, Identitätskarten und Reisedokumenten sowie eine Resolution zur Verwendung von Personendaten für die politische Kommunikation.