18. Tätigkeitsbericht 2010/2011

Sie finden hier eine Auswahl an Artikeln des 18. Tätigkeitsberichts des EDÖB. Den vollständigen Text können Sie als PDF-Dokument herunterladen oder aber beim Bundesamt für Bauten und Logistik bestellen. Informationen dazu finden Sie im Kästchen rechts auf dieser Seite.

Ein Aufruf zum digitalen Spiessertum?

«Wer die ohne Zweifel attraktiven Internetangebote verschiedener Unternehmen nutzen will, soll nicht das Recht auf Privatheit wie den Mantel an der Garderobe abgeben müssen. Wenn digitales Spiessertum bedeutet, auf diesem liberalen Grundrecht zu beharren, sind wir gerne kleinkariert», meinte die NZZ in einem Kommentar kurz vor der Gerichtsverhandlung zu Google Street View Ende Februar 2011. So gesehen, können wir gut mit diesem Prädikat leben.

Im Rahmen der Volkszählung kontrollierten wir ein privates Institut, das im Auftrag des Bundesamts für Statistik (BFS) Personendaten bearbeitet. Grundsätzlich stellten wir fest, dass sich die beteiligten Parteien dafür einsetzen, die datenschutzrechtlichen Vorschriften zu realisieren. Die Kontrolle ist noch nicht abgeschlossen.

Wer «Löschen» sagt, meint nicht immer auch endgültiges Entfernen. Diese altbekannte Tatsache mussten wir im Rahmen der Ämterkonsultation zur Verordnung über die Unternehmensidentifikationsnummer (UID) von Neuem zur Kenntnis nehmen. In unseren beiden Stellungnahmen rieten wir dazu, die Löschung im UID-Register rechtlich klar zu regeln.

Infolge der im Bereich der Zertifizierung von Produkten und Dienstleistungen aufgetretenen Schwierigkeiten haben wir beschlossen, unsere diesbezüglichen Tätigkeiten vorübergehend einzustellen. Wir haben das Bundesamt für Justiz um eine Klärung gewisser Fragen zur Gesetzgebung ersucht.

Das Handlungsprogramm des Bundes für mehr Sicherheit im Strassenverkehr weist aus Sicht des Datenschutzes verschiedene Schwachpunkte auf. Wir regten Verbesserungen insbesondere in den Bereichen Anonymisierung, Bekanntgabe der Daten und Blackbox-Aufzeichnungen an.

Das Bundesamt für Strassen (ASTRA) führte Tests mit der so genannten Abschnittsgeschwindigkeitskontrolle durch und unterbreitete uns das Projekt im Vorfeld. Aus datenschutzrechtlicher Sicht hatten wir nichts gegen diese Art der Kontrolle, wie sie uns vorgestellt wurde, einzuwenden.

Das Sportzentrum KSS musste die zentralisierte Speicherung biometrischer Daten im Rahmen seiner Zutrittskontrolle aufgrund eines Urteils des Bundesverwaltungsgerichts anpassen. Wie wir anlässlich einer Nachkontrolle vor Ort feststellen konnten, setzt KSS das Urteil datenschutzkonform um.

Ein Tennisclub hat ein neues Reservationssystem mit biometrischer Personenerkennung eingeführt. Neu muss jedes Mitglied seine Tennisplatzreservation mittels Fingerabdruck bestätigen, damit der Platz bespielt werden darf. Aufgrund von Anfragen besorgter Clubmitglieder haben wir das System einer Kontrolle unterzogen und dabei festgestellt, dass es den datenschutzrechtlichen Anforderungen nicht entspricht und angepasst werden muss. Wir haben eine entsprechende Empfehlung erlassen und prüfen zurzeit zusammen mit dem Club, wie diese umgesetzt werden kann.

Diverse Nacht- und Jugendlokale suchen nach Möglichkeiten, Personen mit Hausverbot bereits am Eingang zu erkennen und abzuweisen. Wir haben daher in diesem Jahr verschiedene Projekte begutachtet, die sich mit der Verwendung biometrischer Erkennungssysteme zur Identifizierung der in Blacklists erfassten Delinquenten beschäftigen. Insbesondere der in diesem Zusammenhang geplante Datenaustausch zwischen den Lokalbetreibern ist aus datenschutzrechtlicher Sicht problematisch.

Mit der Teilrevision des Bundesgesetzes über die Alters- und Hinterlassenenversicherung (AHVG) soll die Urheberrechtsverwertungsgesellschaft ProLitteris Auszüge aus dem AHV-Register erhalten, um die Gebühren effizienter erheben zu können.

Ist es heutzutage möglich, beim Surfen im Internet anonym zu bleiben? Cookies beispielsweise werden immer leistungsfähiger, wenn es darum geht, Web-Browser zu personalisieren. Doch auch ganz abgesehen von dieser Technologie ist zu bemerken, dass der benutzte Browser selbst einen Abdruck hinterlässt, der uns eindeutig identifiziert. Diese Feststellung konnten wir nach der Prüfung und Testanwendung des Algorithmus Panopticlick bestätigen.

Im Rahmen unserer Beobachtungen im Bereich der Technologie haben wir die Entwicklungen bei der Verwendung von Cookies untersucht. Cookies sind ein bei den Web-Browsern wohlbekannter Mechanismus, der es ermöglicht, die beim Surfen hinterlassene Spur des Nutzers zu speichern. Sie sind gewissermassen das Gedächtnis der Browser. Mit der technologischen Entwicklung sind diese Cookies, ursprünglich bloss kleine Textdateien, immer leistungsfähiger und damit eine eigentliche Bedrohung für die Privatsphäre geworden.

Nachdem Google unsere Empfehlungen zur datenschutzkonformen Ausgestaltung von Street View nicht befolgen wollte, haben wir die Angelegenheit dem Bundesverwaltungsgericht zur Entscheidung vorgelegt. Dieses hat unsere Forderungen in allen wesentlichen Punkten gutgeheissen. Auch weitere Anbieter von Strassenansichten im Internet wurden von uns unter die Lupe genommen. Diese unterscheiden sich von Google Street View in mancher Hinsicht.

Im Frühjahr 2010 wurde bekannt, dass Google auf seinen Kamerafahrten für Street View auch in der Schweiz Daten aus WLAN-Funknetzen gespeichert hatte. Unsere Abklärungen haben ergeben, dass die Erfassung dieser Daten nicht datenschutzkonform war.

Das Bundesgericht hat die Logistep AG angewiesen, jede Datenbearbeitung im Bereich des Urheberrechts einzustellen, und es ihr untersagt, die bereits beschafften Daten den betroffenen Urheberrechtsinhabern weiterzuleiten. Es setzte damit ein Zeichen gegen die auch in anderen Bereichen erkennbare Tendenz von Privaten, Aufgaben an sich zu ziehen, die klar dem Rechtsstaat obliegen.

Das EU-Parlament hat Ende 2009 eine Revision der e-Privacy-Richtlinie 2002/58/EG beschlossen. Das Ziel war, mehr Transparenz und Sicherheit für die Verbraucher zu schaffen. Die praktische Umsetzung der neuen Richtlinie in den Mitgliedstaaten dürfte sich ab 2011 konkretisieren, was auch Konsequenzen für die Schweiz haben wird.

Unsere Kontrolle beim Grenzwachtkorps hat ergeben, dass die Mitarbeiterinnen und Mitarbeiter das Schengener Informationssystem (SIS) in Einklang mit den einschlägigen Gesetzesvorschriften konsultiert haben. Im Bereich der Schulung der Nutzer sind indessen Abklärungen erforderlich.

Über die «Koordinationsgruppe der Schweizerischen Datenschutzbehörden im Rahmen der Umsetzung des Schengen-Assoziierungsabkommens» koordinieren wir unsere Tätigkeiten zur Beaufsichtigung der in der Schweiz in Anwendung der Schengen-Zusammenarbeit im Bereich Migration, Polizei und Justiz vorgenommenen Datenbearbeitungen mit den kantonalen Datenschutzbehörden.

Im Jahr 2010 war die Zahl der Auskunftsgesuche zum Informatisierten Staatsschutz-Informations-System (ISIS) ausserordentlich hoch. Die Flut von Gesuchen ist auf den im Sommer 2010 veröffentlichten Bericht der Delegation der Geschäftsprüfungskommissionen der eidgenössischen Räte (GPDel) über die Datenbearbeitung in ISIS zurück zu führen.

Das Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) soll an die technische Entwicklung angepasst werden und ausdrücklich auch das Internet, also den E-Mail-Verkehr und die Internettelefonie, erfassen. Im Rahmen der Ämterkonsultation zur Revision des BÜPF haben wir zu diversen Punkten unsere Vorschläge eingebracht.

Der Europarat hat uns eingeladen, im Rahmen einer Versammlung des Komitees für bioethische Fragestellungen ein Referat über die Bearbeitung von Patientendaten zu halten. Im Zentrum stand die Frage, ob Regelwerke erforderlich sind, und wenn ja, welche. Es gelang uns, deutlich zu machen, dass der Umgang mit Gesundheitsdaten ohne gültige Regeln nicht zum Vorteil eines nationalen Gesundheitswesens sein kann.

Sachverhaltsabklärungen bei zwei Versandhandelsapotheken haben gezeigt, dass bei den kontrollierten Unternehmen ein gutes Verständnis für den Datenschutz herrscht und die notwendigen Vorkehrungen für den Schutz der Patientendaten getroffen werden. Hingegen bestehen Unklarheiten, welche Gesundheitsdaten die Versandhandelsapotheken zwingend bearbeiten müssen.

Mehrere Krankenversicherer haben versicherte Personen mit einer bestimmten Medikation direkt angeschrieben und sie auf günstigere gleichartige Medikamente hingewiesen. Dieses Vorgehen mag aufgrund des Kostendrucks im Gesundheitswesen zwar als sinnvoll erscheinen, stellt aber eine Datenschutzverletzung dar.

Internationale Unternehmen führen vermehrt zentralisierte Human-Resources-Abteilungen. Als Folge davon werden schweizerische Tochtergesellschaften immer häufiger dazu aufgefordert, die Personendaten ihrer Angestellten an die Muttergesellschaft ins Ausland bekannt zu geben.

Mit dem neuen Stromversorgungsgesetz wird der Elektrizitätsmarkt seit 1. Januar 2008 schrittweise liberalisiert. Dies erfordert eine neue Verbrauchserfassung. Mittels digitalen Zählern können sehr viele Daten gespeichert und online übermittelt werden, was einerseits den Stromkunden Energiesparmöglichkeiten aufzeigt, andererseits aber auch Risiken für die Privatsphäre birgt.

In Zeiten der Globalisierung gewinnt die Datenübermittlung ins Ausland im Rahmen eines «Outsourcing» - gerade bei internationalen Konzernen - zunehmend an Bedeutung. Aus Gründen der Arbeitsteilung wird heutzutage zudem oftmals für die Bearbeitung der Daten ein Unterauftragnehmer beigezogen. Es stellt sich daher die Frage, unter welchen datenschutzrechtlichen Voraussetzungen die Datenübertragung und damit auch die Übermittlung an einen Auftragnehmer und Unterauftragnehmer im Ausland zulässig sind.

Bei der Bearbeitung von Bonitätsdaten durch Kredit- und Wirtschaftsauskunfteien stehen zwei Themenbereiche im Vordergrund. Zum Einen geht es um die Korrektur und Löschung falscher Daten, ein Unterfangen, das sich in der Praxis als sehr schwierig und zeitraubend erweist. Zum Anderen werden dank der heutigen technischen Möglichkeiten immer mehr Personendaten gesammelt und miteinander verknüpft, so dass daraus Persönlichkeitsprofile entstehen können.

Die Anzahl der eingereichten Zugangsgesuche bewegt sich auch 2010 im Rahmen der Vorjahre. Seit in Krafttreten des Öffentlichkeitsgesetzes zeigen sich zwei Tendenzen: Zum Einen wird der Zugang in immer weniger Fällen vollständig verweigert, zum Anderen wird vermehrt Einblick zumindest in Teilen gewährt. In gut einem Viertel aller Fälle, in denen die Verwaltung den Zugang eingeschränkt hatte, wurde ein Schlichtungsantrag eingereicht.

Im 2010 wurden insgesamt 32 Schlichtungsanträge eingereicht (vgl. Statistik Ziff. 3.9). Im Vorjahr waren es 41 gewesen. Insgesamt konnten 34 Schlichtungsanträge abgeschlossen werden. In zehn Fällen wurde zwischen den Beteiligten eine Schlichtung erzielt. In 14 Fällen erliessen wir - da keine einvernehmliche Lösung möglich oder von vornherein ersichtlich war - Empfehlungen. Zum Teil wurden mehrere Schlichtungsanträge mit einer Empfehlung oder einer Schlichtung erledigt. In je einem Fall kam es während des laufenden Schlichtungsverfahrens zum Rückzug eines Antrags bzw. gewährte das Amt von sich aus den Zugang. In drei Fällen wurde Zugang zu Dokumenten verlangt, die nicht in den persönlichen Geltungsbereich des Öffentlichkeitsgesetzes fallen. Interessanterweise wurden diese Gesuche allesamt von Rechtsanwälten gestellt. Einmal wurde der Schlichtungsantrag nicht fristgerecht eingereicht.