20. Tätigkeitsbericht 2012/2013

Sie finden hier eine Auswahl an Artikeln des 20. Tätigkeitsberichts des EDÖB. Den vollständigen Text können Sie als PDF-Dokument herunterladen oder aber beim Bundesamt für Bauten und Logistik bestellen. Informationen dazu finden Sie im Kästchen rechts auf dieser Seite.

Bilanz und Ausblick

Vor 10 Jahren befassten wir uns intensiv mit dem geplanten Personenidentifikator. Entwickelt wurde er im Zusammenhang mit der Registerharmonisierung und der Absicht, künftig die Volkszählung über die Einwohnerregister zu ermöglichen. Wir kritisierten, dass der Verwendungszweck dieses eineindeutigen Identifikators nicht klar genug definiert werde und die Nummer namentlich auch nicht näher bezeichneten administrativen Zwecken dienen soll. Unser Vorschlag, bereichsspezifische Nummern zu schaffen, wurde leider nicht weiter verfolgt. In der Zwischenzeit wurde die neue AHV-Nummer kreiert, deren Verwendungszweck im Gesetz sehr weit gefasst worden ist (Art. 50e AHVG).

Wie wir aufgrund von Bürgeranfragen feststellen mussten, überwachen immer mehr Betreiber von Freizeitanlagen sensible Bereiche wie Umkleidekabinen oder Toiletten mit Videokameras. Dieser Trend ist aus Sicht des Datenschutzes höchst bedenklich, wird so doch in die Intimsphäre der betroffenen Personen eingegriffen.

Das in der Schweiz von vielen Skistationen verwendete Zutrittskontrollsystem muss im Bereich der Datensicherheit verbessert werden. Der Systemhersteller hat sich bereit erklärt, die von uns verlangten Verbesserungen schnellstmöglich technisch umzusetzen.

Wir führten bei der SBB eine Kontrolle der Datenbearbeitungen der Reisenden ohne gültigen Fahrausweis durch. Dabei stellten wir fest, dass für das Informationssystem selbst noch eine formellgesetzliche Grundlage geschaffen werden muss. Das Bundesamt für Verkehr hat sich bereit erklärt, die entsprechenden gesetzgeberischen Schritte in die Wege zu leiten. Zum Zeitpunkt unserer Kontrolle vor Ort hatte die SBB die geplante Löschung der Daten in ihrem Informationssystem noch nicht umgesetzt. Wir sind daran, das inzwischen erstellte Konzept für die Löschung samt Umsetzung zu prüfen.

Seit Inkrafttreten des Bundesgesetzes über die Förderung von Turnen und Sport besteht für Datenlieferungen an die World Anti Doping Agency eine gesetzliche Grundlage. Dennoch muss, da Daten ins Ausland geliefert werden, ein genügendes Datenschutzniveau durch vertragliche Vereinbarungen sichergestellt werden.

Internetpranger erfreuen sich wachsender Beliebtheit: Kunden, die ihre Rechnungen nicht bezahlen, Behördenmitglieder, die nicht im Sinne des Verfassers entscheiden, oder Personen mit einer bestimmten politischen Meinung werden auf einer schwarzen Liste im Internet aufgeschaltet und so in der Öffentlichkeit einem bestimmten Vorwurf ausgesetzt. Mit solchen Internetprangern werden die Persönlichkeitsrechte der Betroffenen in der Regel widerrechtlich verletzt.

Das Bundesgericht hat am 31. Mai 2012 über die datenschutzrechtlichen Aspekte in Sachen Google Street View entschieden. Zentrale Punkte waren die Anwendbarkeit des Schweizer Datenschutzgesetzes, die Anforderungen beim Einsatz einer automatischen Anonymisierung, die Anonymisierung im Bereich von sensiblen Einrichtungen und die Aufnahme von Privatbereichen, welche für gewöhnliche Passanten nicht einsehbar sind.

Nach dem Urteil in Sachen Logistep besteht eine gewisse Unsicherheit darüber, ob die Verfolgung von Urheberrechtsverletzungen nach geltendem Recht noch möglich ist. In der Zwischenzeit sind jedoch Bemühungen im Gange, Massnahmen zur Erleichterung der Durchsetzung von Urheberechten im Internet gesetzlich zu verankern und damit in der Sache Klarheit zu schaffen.

Unternehmen und Behörden wollen vermehrt in Erfahrung bringen, wie sie in den Sozialen Medien dargestellt werden. Daraus hat sich die Dienstleistung Social Media Monitoring entwickelt.

Der Betreiber einer Webseite hat ein Interesse daran, die Zugriffe von Nutzerinnen und Nutzern zu analysieren, um zu wissen, wie sie sich auf der Seite bewegen oder um sein Onlineangebot zu optimieren. Für Webseiten des Bundes kann der Einsatz solcher Tools jedoch besondere Tücken haben.

Die Unterzeichnung des PCSC-Abkommens mit den USA zum Austausch von Fingerabdruck- und DNA-Daten und des Memorandum of Understanding HSPD-6 über den Austausch von Daten zu mutmasslichen und bekannten Terroristen ermöglicht der Schweiz den Verbleib im amerikanischen Programm für eine visumsfreie Einreise (Visa-Waiver-Program). In diese beiden Urkunden sind Datenschutzregeln aufgenommen worden.

Im Rahmen der Ämterkonsultation haben wir zum Entwurf des totalrevidierten Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs Stellung genommen. Neu soll eine gesetzliche Grundlage für den Einsatz von Informatikprogrammen eingeführt werden. Eine solche forderten wir auch für die Herausgabe von Inhaltsdaten bei Dienstleistungen, welche sich auf Fernmeldedienste stützen.

Der Entwurf zum Nachrichtendienstgesetz in seiner im zweiten Vernehmlassungsverfahren überwiesenen Fassung wurde unter dem Gesichtspunkt des Datenschutzes in mehreren Punkten verbessert. Andere Elemente, wie etwa gewisse Mittel zur Informationsbeschaffung oder auch der Ausschluss des Nachrichtendienstes des Bundes vom Geltungsbereich des Öffentlichkeitsgesetzes sind hingegen immer noch problematisch.

Für die Entgegennahme von DRG-Rechnungen müssen die Krankenversicherer sogenannte Datenannahmestellen einrichten. Diese müssen zwingend über eine Datenschutzzertifizierung verfügen. Damit wird in der Schweiz erstmals das Obligatorium einer Datenschutzzertifizierung eingeführt.

Viele Ideen aus den eHealth-Projekten konkretisieren sich im Bundesgesetz über das elektronische Patientendossier, welches langsam Gestalt annimmt. Wir haben uns an den Entwurfsarbeiten des Bundesamtes für Gesundheit beteiligt. Einige wichtige Punkte konnten wir in unserem Sinne beeinflussen.

Krankenversicherer müssen Mitarbeitenden für die Leistungsabrechnung Zugriff auf medizinische Daten der Versicherten gewähren. Im Idealfall hat der Mitarbeitende Zugriff auf diejenigen Daten, die er für den konkreten Fall benötigt. Nach Abschluss sollte die Berechtigung wieder entzogen werden. Der Idealfall wird aber selten erreicht. Das zeigte eine Sachverhaltsabklärung bei einem grossen Krankenversicherer.

In der Schweiz existieren keine spezifischen gesetzlichen Vorgaben für den Betrieb eines Whistleblowingsystems in privaten Unternehmen. Im Rahmen der telefonischen Beratung haben wir mehrere Anfragen zu diesem Thema beantwortet. Oftmals ging es auch um die Frage, ob eine Anmeldepflicht für die Datensammlung des Whistleblowingsystems besteht. Wir hielten fest, dass eine Anmeldung angezeigt ist.

Am 12. April 2012 hat das Bundesverwaltungsgericht entschieden, dass die Pensionskassenausweise künftig so zuzustellen sind, dass ausschliesslich die jeweilige versicherte Person, und damit keine Dritten, Kenntnis vom Inhalt ihres Ausweises erlangen kann. Die Umsetzung des Urteils wurde von uns im Rahmen einer Nachkontrolle überprüft.

Verschiedene Banken haben Dokumente an US-Behörden übermittelt, welche Namen, E-Mail-Adressen und Telefonnummern von aktuellen und ehemaligen Mitarbeitenden sowie Drittpersonen enthielten. Wir haben deshalb bei fünf betroffenen Banken eine Sachverhaltsabklärung durchgeführt und danach Empfehlungen erlassen, die die Banken zu einer transparenteren Vorgehensweise verpflichten.

Was geschieht mit dem E-Mail-Account bei unerwarteten Abwesenheiten? Inwieweit ist der Arbeitgeber berechtigt, meine E-Mails zu konsultieren? Dies sind die häufigsten Fragen aus dem Arbeitsbereich, die uns an der Telefonhotline gestellt werden. Die persönliche Integrität und die Privatsphäre im Spannungsfeld der Arbeitswelt bedürfen einer Regelung.

Auf Anfrage eines Grossverteilers haben wir die nachträgliche Einführung einer Warenkorbanalyse bei einer Kundenkarte aus datenschutzrechtlicher Sicht beurteilt. Eine solche Änderung der Datenbearbeitung stellt insbesondere erhöhte Anforderungen an die Transparenz und die Einwilligung der Kunden.

Die Wirtschaftsauskunftei Moneyhouse veröffentlicht im Rahmen der von ihr angebotenen Personensuche unter anderem Adressdaten im Internet, die Betroffene anderweitig gesperrt hatten. Wir haben eine Sachverhaltsabklärung eröffnet, um diese Datenbearbeitungen genauer zu untersuchen.

Im vergangenen Sommer haben zwei Kantone im Rahmen der Umsetzung des Öffentlichkeitsprinzips eine neue Praxis für ihre Handelsregister eingeführt. Sie übermitteln nunmehr per E-Mail über eine automatische Bekanntgabe sämtliche Belege augenblicklich an jede Person, die sie beantragt. Dieser uneingeschränkte Übergang von einer Einsichtnahme, die den Gang zum Handelsregister oder zumindest einen persönlichen Kontakt erforderte, zu einer Umsetzung des Öffentlichkeitsprinzips via Internet wirft grundlegende Fragen in Bezug auf den Daten- und Persönlichkeitsschutz auf.

Das Handelsregister soll modernisiert werden. Neu vorgesehen ist eine elektronische, zentrale Datensammlung, die sich auf ein einheitliches Softwaresystem stützen soll. Aus datenschutzrechtlicher Sicht begrüssen wir vor allem die handelsregisterrechtlich konforme Einführung eines Rechts auf Vergessen.

Im Rahmen der Ämterkonsultation zur Totalrevision der Postverordnung haben wir unsere Stellungnahme abgegeben. Dabei äusserten wir uns zu den Informationspflichten und zum Umgang mit Adressdaten, insbesondere zu deren Weitergabe an Dritte.

Die Anzahl der eingereichten Zugangsgesuche ist 2012 gegenüber dem Vorjahr um gut acht Prozent gestiegen. Gleich bleiben die Quoten bei der vollständigen Gewährung und der vollständigen Verweigerung des Zugangs. Eine leichte Abnahme um drei Prozentpunkte ist bei der teilweisen Gewährung (inkl. Zugangsgewährung unter zeitlichem Aufschub) zu verzeichnen. Die grösste Überraschung dürfte im massiven Einbruch der in Rechnung gestellten Gebühren liegen. Die Anzahl der eingereichten Schlichtungsanträge ist im Berichtsjahr um 20 Prozent auf 78 gestiegen.

Der Tätigkeitsbericht kann beim BBL, Vertrieb Publikationen, 3003 Bern bestellt werden.
Art. Nr. 410.020