Zentrale Speicherung von Kundenfotos bei Skistationen

Im Rahmen der Sachverhaltsabklärung bei einer Skistation haben wir das Zutrittssystem eines bekannten Herstellers einer vertieften Kontrolle unterzogen. Dabei hat sich gezeigt, dass das System die datenschutzrechtlichen Anforderungen grösstenteils erfüllt, für die zentrale Speicherung der Kundenfotos im Bereich der Datensicherheit aber noch Verbesserungen notwendig sind.

In der Schweiz verwenden viele Skistationen für die Zutrittskontrolle Systeme desselben Herstellers. Nachdem im Rahmen einer Sachverhaltsabklärung bei einer Schweizer Skistation Fragen bezüglich der Datenschutzkonformität ihres Systems aufgetaucht sind, haben wir mit dem Hersteller Kontakt aufgenommen, um seine Produkte gemeinsam zu analysieren und allfällige Verbesserungen zentral bei ihm umzusetzen. Dabei konnten wir feststellen, dass das System die meisten datenschutzrechtlichen Prinzipien berücksichtigt, sofern die Skistationen es richtig konfiguriert haben. Die Einstellungen können nämlich so vorgenommen werden, dass nur die notwendigen Angaben der Kundinnen und Kunden erhoben, sie nur so lange wie nötig gespeichert und die Zugriffsrechte auf einzelne Datenkategorien restriktiv geregelt werden. Das System ist zudem übersichtlich, so dass falsche Daten einfach korrigiert oder gelöscht werden können. Damit kann die Anlage so betrieben werden, dass die Datenbearbeitung verhältnismässig ist und die Datenrichtigkeit gewährleistet werden kann. Es hängt also von den jeweiligen Skistationen ab, ob die Systeme datenschutzkonform betrieben werden.

Einzig betreffend die Datensicherheit haben wir festgestellt, dass insbesondere der Schutz der Fotodaten noch angepasst werden muss. Das System ist zwar so konzipiert, dass die Daten nicht ohne weiteres ausgelesen und für andere Zwecke verwendet oder gar entwendet werden können. Angesichts der Tatsache, dass die Fotodatenbank aber auch besonders schützenswerte Personendaten enthalten kann, muss dieser Schutz noch verbessert werden. Wir sind zurzeit daran, mit dem Hersteller zu prüfen, welche Massnahmen bei künftigen Systemen umgesetzt werden können, um die datenschutzrechtlichen Anforderungen vollumfänglich zu erfüllen.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/19--taetigkeitsbericht-2011-2012/zentrale-speicherung-von-kundenfotos-bei-skistationen.html