16. Tätigkeitsbericht 2008/2009

Sie finden hier eine Auswahl an Artikeln des 16. Tätigkeitsberichts des EDÖB. Den vollständigen Text können Sie als PDF-Dokument herunterladen oder aber beim Bundesamt für Bauten und Logistik bestellen. Informationen dazu finden Sie im Kästchen rechts auf dieser Seite.

Vorwort

Ein erfolgreicher Datenschutz braucht Ausdauer und Pragmatismus

Facebook und andere Soziale Netzwerkseiten im Internet erfreuen sich zunehmender Beliebtheit und haben inzwischen weltweit mehrere hundert Millionen von Nutzerinnen und Nutzern. Vor allem die junge Generation findet es ausserordentlich cool, auf diesem Weg «Freunde» zu gewinnen, sich über gemeinsame Interessen auszutauschen und dabei auch sehr Persönliches preis zu geben. Interessant ist, dass zunehmend auch ältere Semester sich dieser Instrumente bedienen: Politiker realisieren, dass man auf diesem Weg gleichsam mit Schneeballeffekt fast gratis sehr viele Wählerinnen und Wähler erreichen kann. So dürfte der US-Präsident Barack Obama seine Wahl massgeblich der Einbindung der Sozialen Netzwerke in seine Kampagne zu verdanken haben. Auch in der Schweiz bedienen sich Politiker vermehrt dieses Instruments. So ist das Referendum gegen die biometrischen Pässe das erste erfolgreich eingereichte internetbasierte Referendum. Inzwischen ist klar, dass sehr viele Akteure - vom Arbeitgeber bis zu den Geheimdiensten - diese immer üppiger sprudelnde Informationsquelle für ihre Zwecke nutzen.

Produkt- und Systemzertifizierung im Datenschutzbereich

Wir haben den Auftrag erhalten, baldmöglichst die Richtlinien zur Festlegung der spezifischen Kriterien herauszugeben, die ein Produkt im Rahmen einer Zertifizierung erfüllen muss. Diese Aufgabe erweist sich jedoch als äusserst schwierig, da eine auf den Datenschutz ausgedehnte ISO-Zertifizierung 15408 ihrem Wesen nach komplex, im Verhältnis zu unserer gesetzgeberischen Situation teilweise phasenverschoben und vor allem schwer zu bewerkstelligen ist.

Abschluss eines Safe-Harbor-Abkommens Schweiz-USA

Die Vereinigten Staaten verfügen über kein angemessenes Datenschutzniveau, so dass für den Transfer von Personendaten zu einer Unternehmung in den USA spezielle Garantien vereinbart werden müssen. Gemeinsam mit dem Staatssekretariat für Wirtschaft (SECO) haben wir mit den USA ein Regelwerk ausgearbeitet, welches für die darunter zertifizierten Unternehmen ein ausreichendes Datenschutzniveau gewährleistet. Auf diese Weise wird der Datentransfer zwischen Schweizer und zertifizierten U.S. Unternehmen erheblich erleichtert.

Datenschutzkonforme Videoüberwachung dank Chiffrierung

Die Videoüberwachung entwickelt sich ständig weiter. Dank der verschiedenen Methoden zur Bildverschlüsselung und der Aufteilung der Chiffrierschlüssel lassen sich datenschutzkonforme Technologien einsetzen und mögliche Missbräuche vermeiden. Vereinbarungen zwischen Entwicklern und Herstellern gestatten eine bessere Verbreitung dieser Technologien.

Datenbearbeitungen durch Markt- und Sozialforschungsinstitute

Im Bemühen, die Grundsätze des DSG einzuhalten und sich so von weniger seriösen Firmen abzuheben, die im Bereich der Direktvermarktung tätig sind, ist der Verband Schweizer Markt- und Sozialforscher (VSMS) an uns gelangt, um uns verschiedene Datenschutzfragen zu unterbreiten und sich zu vergewissern, dass seine Methoden wie auch seine Dokumentation wirklich im Einklang mit der schweizerischen Gesetzgebung stehen. Wir haben die gestellten Fragen beantwortet und der Branche verschiedene Verbesserungen vorgeschlagen. Der Verband ist unseren Anmerkungen gefolgt und hat seine Reglemente und internen Weisungen angepasst.

Ärztebewertungsseiten im Internet

Im Anschluss an zahlreiche Beschwerden über die Webseite für die Bewertung von Ärzten www.okdoc.ch haben wir den Sachverhalt abgeklärt und die Datenschutzanforderungen im Rahmen der anonymen Online-Bewertung von Praktikern des Gesundheitswesens genauer ausgeführt.

Erläuterungen zu Bewertungsplattformen im Internet

Bewertungen von verschiedenen Berufsgruppen im Internet (Ärzte, Professoren, Lehrer etc.) haben in letzter Zeit stark an Popularität gewonnen. Da eine online Bewertung die Persönlichkeit der bewerteten Person tangieren kann, haben wir uns entschlossen, verschiedene Bewertungsseiten zu analysieren. Aus den gewonnenen Erkenntnissen haben wir Grundsätze für die Ausgestaltung und Nutzung von Bewertungswebseiten erarbeitet mit dem Ziel, den Benutzern, Entwicklern und Betroffenen solcher Seiten nützliche Ratschläge zu erteilen.

Auswertungstools für Webseiten

Im Auftrag der Bundesverwaltung und aufgrund verschiedener Bürgeranfragen haben wir die datenschutzrechtlichen Aspekte von Auswertungstools für Webseiten analysiert. Beim Einsatz von Auswertungstools zur Erstellung von Zugriffsstatistiken von Webseiten sind aus unserer Sicht verschiedene Voraussetzungen zu erfüllen. Insbesondere sind die Nutzer in einer Datenschutzerklärung darauf hinzuweisen, welche Daten über sie gesammelt und an wen sie weitergegeben werden (inklusive Angabe des Landes). Werden die Daten in ein Land weitergegeben, welches über kein angemessenes Datenschutzniveau verfügt, sind zusätzlich mit dem Anbieter des Auswertungstools Garantien zu vereinbaren, die ein ausreichendes Schutzniveau gewährleisten.

Auskunftsgesuche betreffend das Informationssystem ISIS

Die Anzahl der Auskunftsgesuche betreffend das Informationssystem ISIS ist 2008 rasant angestiegen. Zum ersten Mal konnten wir zudem einzelne Gesuchsteller angemessen über das Vorhandensein von Einträgen informieren. Es wäre wünschenswert, wenn betreffend ISIS, wie neu für JANUS und GEWA, ein direktes Auskunftsrecht eingeführt werden könnte.

Aufnahme biometrischer Daten in Reisedokumente

Mehrere Anfragen sind bei uns eingegangen im Zusammenhang mit dem Referendum gegen den Bundesbeschluss vom 13. Juni 2008 über die Genehmigung und die Umsetzung des Notenaustauschs zwischen der Schweiz und der Europäischen Gemeinschaft betreffend die Übernahme der Verordnung (EG) Nr. 2252/2004 über biometrische Pässe und Reisedokumente (Weiterentwicklung des Schengen-Besitzstands). Wir haben auf unsere Stellungnahme (vgl. unseren 15. Tätigkeitsbericht 2007/2008, Ziff. 1.1.3) verwiesen und dabei daran erinnert, dass einerseits die EG-Verordnung keine Aufbewahrung der biometrischen Daten über die für die Ausstellung der Dokumente notwendige Zeit hinaus vorsieht, und dass wir andererseits eine zentralisierte Aufbewahrung der biometrischen Daten in Datensammlungen für Ausweise nicht unterstützen.

Gesichtserkennungssysteme in Sportstadien

Wir wurden angefragt, zu zwei Teilaspekten des Projekts «Sicherheit im Sport» Stellung zu nehmen. Dabei handelte es sich vor um allem die Themen «Einsatz von Biometrie resp. von Gesichtserkennungsgeräten bei den Eingängen eines Stadions» und «Verknüpfung von Videoaufnahmen in den Stadien und Biometrie resp. Gesichtserkennung». Der Einsatz von Gesichtserkennungssystemen in Stadien ist datenschutzrechtlich zulässig, wenn bestimmte Voraussetzungen eingehalten werden.

Weitergabe von ärztlichen Gutachten

Die Weitergabe eines ärztlichen Gutachtens stellt einen heiklen Vorgang dar. Es werden besonders schützenswerte Personendaten an einen Dritten übergeben. In einigen Fällen bestehen deshalb klare spezialgesetzliche Grundlagen für die integrale Weitergabe ärztlicher Gutachten ohne die explizite Zustimmung der betroffenen Person. Bestehen keine solchen Grundlagen, so müssen die allgemeinen Datenschutzbestimmungen eingehalten werden. Insbesondere ist das Prinzip der Verhältnismässigkeit zu beachten.

Standards und Architektur der eHealth-Strategie Schweiz

Der Bundesrat hat am 27. Juni 2007 die «Strategie eHealth Schweiz» verabschiedet. In ihr werden unter anderem zwei Ziele genannt: die für die Umsetzung der Strategie notwendigen Standards und eine geeignete eHealth-Architektur zu definieren. Der daraus resultierende Auftrag ging an das Teilprojekt «Standards und Architektur», dessen Ergebnisse als Grundlage für die anderen Teilprojekte dienen. Deshalb haben wir uns entschieden, aktiv an «Standards und Architektur» mitzuwirken.

Die Einwilligung der betroffenen Personen bei medizinischen Forschungsprojekten

Die Daten für die Forschung sind den Forschenden grundsätzlich anonym zur Verfügung zu stellen. Sofern dies nicht möglich ist, ist die Einwilligung der Betroffenen einzuholen. Ist dies unmöglich, besteht die Möglichkeit, Forschungsprojekte mit Hilfe einer Bewilligung der Expertenkommission für das Berufsgeheimnis in der medizinischen Forschung durchzuführen. Es existieren heute Systeme, die unterschiedliche Abläufe berücksichtigen, damit den Forschern die Daten in anonymisierter Form zur Verfügung gestellt werden können.

Totalrevision des Versicherungsvertragsgesetzes

Der Bundesrat hat die Botschaft zur Totalrevision des Versicherungsvertragsgesetz (VVG) verabschiedet. Die Gesetzesrevision verbessert die Bestimmungen zur vorvertraglichen Information. Neu ist die Informationspflicht über das Widerrufsrecht für alle Versicherungsverträge eingefügt worden. Die Bestimmungen über die Datenschutzinformationen wurden wörtlich übernommen. Gemäss Vorschlag sind zudem die vorvertraglichen Informationen dem Versicherten neu zwingend vor der ihn bindenden Willenserklärung abzugeben. Unsere Anträge und Erläuterungen wurden mehrheitlich berücksichtigt.

Zur Funktion des Vertrauensarztes in den verschiedenen Versicherungsbereichen

Als juristische Beratungsstelle wird der EDÖB auch immer wieder mit Problemen aus dem Bereich des Datenschutzes im Gesundheitswesen kontaktiert. Zum Dauerbrenner sind dabei die Fragen über den Einsatz des Vertrauensarztes in den verschiedenen Versicherungsbereichen geworden.

Revision des Bundespersonalgesetzes

Die Revision des Bundespersonalgesetzes soll die formelle Grundlage für die Bearbeitung von schützenswerten Personendaten und Persönlichkeitsprofilen im Personaldatenverarbeitungssystem BV PLUS schaffen. Unsere Empfehlungen anlässlich der ersten Ämterkonsultation blieben auch im neuen Regelungsentwurf weitgehend unberücksichtigt.

Fragenkatalog bei Aufnahme in eine Pensionskasse

Gesundheitsdaten dürfen bei der Aufnahme in eine Pensionskasse nur im Bereich der überobligatorischen Versicherung erhoben werden. Bei der Aufnahme in die obligatorische Versicherung darf die Pensionskasse keine solchen Daten verlangen, da hier eine gesetzliche Aufnahmepflicht besteht.

Revision des Schuldbetreibungs- und Konkursrechts

Die Anzeige von Daten auf dem Betreibungsregisterauszug ist gegenwärtig unserer Ansicht nach zu undifferenziert geregelt. Daher haben wir im Rahmen der Ämterkonsultation zur Revision des Schuldbetreibungs- und Konkursrechts (Sanierungsverfahren) vorgeschlagen, die Anzeigefristen anzupassen. Wir sind der Meinung, dass deren Staffelung auf der einen Seite den datenschutzrechtlichen Anforderungen besser entspricht und auf der anderen Seite Anreize liefern kann, offene Rechnungen schneller zu begleichen.

Empfehlung in Sachen Mietercheck

Im Verlauf des Jahres 2008 haben wir bei einer Wirtschaftsauskunftei eine Sachverhaltsabklärung durchgeführt. Die betreffende Firma bietet neu eine Dienstleistung an, welche es Vermietern ermöglichen soll, Mieterangaben zu prüfen und das Risiko von Mietzinsausfällen zu vermindern. Mängel haben wir bei der Bonitätsrelevanz der angebotenen Daten und bei der Gewährung des Auskunfts- und Löschungsrechtes festgestellt. Deshalb haben wir eine Empfehlung erlassen.

Bekanntgabe von Personendaten an Dritte durch Vereine und Veranstalter von Sportanlässen

Vereine oder Veranstalter eines Anlasses können die Adressen ihrer Mitglieder oder der Teilnehmer nicht ohne weiteres ihren Sponsoren oder anderen Dritten bekannt geben. Eine Bekanntgabe von Personendaten zu Marketingzwecken kann nur durch die freiwillige Einwilligung nach angemessener Information der betroffenen Personen gerechtfertigt werden. Wir haben die Verantwortlichen auf die gesetzlichen Voraussetzungen einer Datenbearbeitung aufmerksam gemacht und ihnen empfohlen, ihre Statuten und Reglemente entsprechend anzupassen.

Umsetzung Schengen: Der Datenschutz auf Bundesebene

Nach unserer Mitarbeit bei der Evaluierung des Schweizer Datenschutzes durch die Europäische Union haben wir mit dem Aufbau unserer Aufsichts- und Informationstätigkeiten im Rahmen von Schengen begonnen. Wir haben eine Koordinationsgruppe für die Zusammenarbeit mit den kantonalen Datenschutzbehörden eingesetzt. Zudem haben wir eine Kontrolle bei einer diplomatischen Vertretung der Schweiz im Ausland durchgeführt und Informationsdokumente auf unserer Webseite veröffentlicht.

Umsetzung Schengen: Kontrolle des EDÖB bei der Schweizer Vertretung in der Ukraine

In unserer Eigenschaft als Aufsichtsbehörde der zur Verwendung des Schengener Informationssystems (SIS) befugten Bundesorgane haben wir bei der diplomatischen Vertretung der Schweiz in Kiew (Ukraine) eine Kontrolle durchgeführt. Dabei ging es um die Bearbeitungsverfahren von Personendaten bei der Ausstellung von Visa und Aufenthaltsbewilligungen zum Zwecke der Einreise von Staatsangehörigen von Drittländern in den Schengen-Raum über die Schweiz.

Zugangsgesuche bei der Bundesverwaltung

Die Anzahl der eingereichten Zugangsgesuche und der Schlichtungsanträge sind gemäss den Bundesämtern im Vergleich zum Vorjahr leicht zurückgegangen. Dabei stellt sich die Frage, ob tatsächlich alle Zugangsgesuche erfasst und gemeldet werden. Der Prozentsatz der vollständig oder zumindest teilweise gewährten Zugänge, die uns mitgeteilt wurden, entspricht in etwa jenem des Vorjahres. Bei den Schlichtungsverfahren liess sich in der Hälfte der Fälle ein für den Antragsteller günstigeres Resultat erreichen.

Schlichtungsanträge beim EDÖB

2008 wurden insgesamt 25 Schlichtungsanträge eingereicht (vgl. Statistik Ziff. 3.8). Im Vorjahr waren es noch 36 Schlichtungsanträge.Insgesamt konnten 27 Schlichtungsanträge aus den Jahren 2007 und 2008 abgeschlossen werden.

Weiterführende Informationen

Dokument

Publikationen

Bestellung

Der Tätigkeitsbericht kann beim BBL, Vertrieb Publikationen, 3003 Bern bestellt werden.
Art. Nr. 410.016

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/16--taetigkeitsbericht-2008-2009.html