Aufzeichnung der Benutzeraktivitäten beim Einsatz des Internets in der Bundesverwaltung

Die Informatik-Konferenz-Bund vom September 1998 fragte den Eidg. Datenschutzbeauftragten an, welche Rahmenbedingungen aus der Sicht des Datenschutzes einzuhalten sind, wenn u. a. Benutzeraktivitäten beim Gebrauch des Internets aufgezeichnet werden sollen.

Bis zur oben aufgeführten Anfrage mussten die Mitarbeiter in der Bundesverwaltung ein Formular unterzeichnen, damit ihnen der Zugriff auf das Internet gewährt wurde. Mit der Unterschrift erklärten sich die Benutzer auch einverstanden, dass ihre Aktivitäten zu einem grossen Teil auf einem Datenspeicher im Firewall aufgezeichnet werden. Durch diese Internetprotokollierung besteht allerdings die Gefahr, dass man Persönlichkeitsprofile der Mitarbeiter aufzeichnet. Zudem besteht das Risiko, dass die Protokolldaten für die Überwachung der Mitarbeiter benutzt werden (Zweckentfremdung).

Gemäss Art. 17 Abs. 2 lit. c DSG dürfen ausnahmsweise Persönlichkeitsprofile u. a. bearbeitet werden, wenn die betroffenen Personen im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht haben. Es gilt aber zu beachten, dass die Einwilligung nicht pauschal erfolgen darf, sondern sich auf einen bestimmten Einzelfall beziehen muss. Kann man sich weder auf die einzelfallweise Zustimmung des Benutzers noch auf eine allgemeine Zugänglichkeit der Daten abstützen, so ist für die Bearbeitung von Persönlichkeitsprofilen eine Rechtsgrundlage in Form eines formellen Gesetzes notwendig (Art. 17 Abs. 2 DSG). Bevor man aber eine Rechtsgrundlage erarbeitet, muss grundsätzlich abgeklärt werden, ob die Bearbeitung von Personendaten für die Aufgabenerfüllung überhaupt notwendig ist (Verhältnismässigkeitsprinzip). Im vorliegenden Fall besteht heute keine rechtliche Grundlage. Ein datenschutzkonformes Steuerungsinstrument für die Internetbenutzung kann heute ohne Rechtsgrundlage zur Verfügung gestellt werden, wenn bei der Protokollierung wie folgt vorgegangen wird:
Die Aufzeichnung von Zieladressen, welche die Internetbenutzer der Bundesverwaltung anwählen als auch die Organisationseinheiten (z. B. Ämter oder Abteilungen), aus der die jeweilige Abfrage stammt, dürfen aufgezeichnet werden, soweit die Abfragenden im Einzelnen nicht identifizierbar sind. Eine solche Protokollierung wäre datenschutzkonform, weil z. B. Ämter keine juristischen Personen sind und deshalb nicht unter den Schutz des Datenschutzgesetzes fallen. Durch die stichprobenartige Auswertung dieser Protokolle wäre die Linie in der Lage festzustellen, inwieweit das Internet für die Aufgabenerfüllung eingesetzt wird.

[Juli 1999]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/6--taegigkeitsbericht-1998-1999/aufzeichnung-der-benutzeraktivitaeten-beim-einsatz-des-internets.html