Tätigkeitsbericht 2000/2001 des Eidgenössischen Datenschutzbeauftragten S. 3
Dieser Bericht ist auch über das Internet ( www.edsb.ch) abrufbar.
Rapport d'activités 2000/2001 du Préposé fédéral à la protection des données S. 127
Ce rapport est également disponible sur Internet (www.edsb.ch)
2 Eidgenössischer Datenschutzbeauftragter
Tätigkeitsbericht 2000/2001
Der Eidgenössische Datenschutzbeauftragte hat dem Bundesrat periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 Datenschutzgesetz). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2000 und 31. März 2001 ab.
3 DIC6GUTW@Sa@D8CIDT
DIC6GUTW@Sa@D8CIDT.................................................................................................................................. 1 WPSXPSU.......................................................................................................................................................... 6 67FSaVIBTW@Sa@D8CIDT........................................................................................................................ 7 D 6VTB@XCGU@ UC@H@I..................................................................................................................... 8 Qyvrvrr................................................................................................................................................. 8 1.1. Projekt «Neuer Schweizer Pass»* ...................................................................................................... 8 1.2. Reorganisationprojekte Strupol und Usis* ......................................................................................... 9 1.3. Datenbearbeitungen im Bereich der Glücksspiele und Spielbanken (Casinos) ................................ 11 1.4. Erfahrungen mit dem indirekten Auskunftsrecht.............................................................................. 13 ! Uryrxvxhv q Q................................................................................................................... 14 Telekommunikation ..................................................................................................................................... 14 2.1. Staatliche Überwachung von Post- und Fernmeldeverkehr*............................................................ 14 Post .............................................................................................................................................................. 16 2.2. Die Nachsendeformulare der Post und die Adressaktualisierung (Post/DCL) ................................. 16 "
DIU@SI@U q qhrpus rqyvpur Urpuytvr........................................................................ 18 3.1. Datenschutzverletzungen im Internet ............................................................................................... 18 3.2. P3P – eine technische Grundlage zum Selbstdatenschutz ................................................................ 19
9hrpu q @8r pr................................................................................................................. 19 4.1. Notwendige Elemente für die Vergabe eines Gütesiegels im E-Commerce aus datenschutz- rechtlicher Sicht ............................................................................................................................... 19 4.2. Alternative Streitbeilegungsmechanismen bei Online–Transaktionen (E-Commerce)..................... 21 $ Qr hyrr............................................................................................................................................ 21 Privatbereich ............................................................................................................................................... 21 5.1. Drogentests in der Lehre .................................................................................................................. 21 5.2. Die E-Mail- und Internetüberwachung am Arbeitsplatz................................................................... 24 5.3. Bearbeitung von Gesundheitsdaten durch den Arbeitgeber ............................................................. 26 % Wr vpur trr.................................................................................................................................. 28 Sozialversicherungen .................................................................................................................................... 28 6.1. Nachweis eines Gesundheitsschadens in Suchtinstitutionen............................................................. 28 6.2. Pensionskassengelder: Suche nach Anspruchsberechtigten............................................................... 29 6.3. Expertenkommission für den Persönlichkeitsschutz in der sozialen und privaten Kranken- und Unfallversicherung............................................................................................................................ 30 Privatversicherungen .................................................................................................................................... 31 6.4. Die Notwendigkeit eines Vertrauensarztes im Privatversicherungsbereich...................................... 31 6.5. Blutproben gehören nicht in die Hände von Versicherern................................................................. 32 6.6. Datenweitergabe an Rückversicherer................................................................................................. 33 6.7. Qualitätskontrollen im Zusatzversicherungsbereich.......................................................................... 34 & Brqurvrr...................................................................................................................................... 35 7.1. Call-Center im medizinischen Bereich ............................................................................................. 35 7.2. Qualitätsmessungs- und Qualitätssicherungsprojekte im medizinischen Bereich............................. 36 7.3. Elektronisches Rezept ...................................................................................................................... 39 7.4. Elektronische Abrechnung/Trust-Center .......................................................................................... 40 7.5. Der Arzttarif Tarmed........................................................................................................................ 42
*: Originaltext auf Französisch
4 7.6. Verfahren zur Überprüfung von Wirtschaftlichkeit im Gesundheitsbereich .................................... 42 7.7. Die Herausgabe der Krankengeschichte an die Patienten ................................................................ 43 7.8. Übertragung medizinischer Daten per Internet*............................................................................... 44 ' Brrvx....................................................................................................................................................... 45 8.1. Gesetz betreffend die Verwendung des DNA-Profils*..................................................................... 45 ( Avhr..................................................................................................................................................... 47 9.1. Geldwäschereigesetz und Anerkennung von Finanzintermediären .................................................. 47 Xr it q Hh xrvt.......................................................................................................................... 49 10.1. Unerwünschte Werbung und Belästigung schwacher Personen* ..................................................... 49 Thvvx....................................................................................................................................................... 49 11.1. Die Grundsätze zur Bearbeitung von Personendaten zu statistischen Zwecken* ............................. 49 11.2. Der Datenschutz in geografischen Informationssystemen* .............................................................. 51 11.3. Durchführung der Volkszählung 2000* ........................................................................................... 54 ! Hqr vvr t qr 9hrpur.......................................................................................................... 56 12.1. Unterwegs zu einer Modernisierung des Datenschutzes*................................................................. 56 DD X@DU@S@ UC@H@I...............................................................................................................................61 6xs rpu........................................................................................................................................... 61 1.1. Auskunftspflicht der Bundesorgane* ............................................................................................... 61 1.2. Verweigerung der Einsichtnahme in Prüfungsnotizen...................................................................... 62 ! Fqrxh r.............................................................................................................................................. 64 2.1. Kundenkarten: M-Cumulus* ............................................................................................................ 64 " Wvqr:ir hput.................................................................................................................................... 64 3.1. Videoüberwachung im Privatbereich - datenschutzrechtliche Mindestanforderungen..................... 64 3.2. Videoüberwachung im öffentlichen Verkehr - datenschutzrechtliche Mindestanforderungen......... 67
Wr ;ssryvput Qr rqhr...................................................................................................... 68 4.1. Publikation der nachrichtenlosen Konten......................................................................................... 68 $ 7rxhthir Qr rqhr............................................................................................................. 69 5.1. Online-Verzeichnisse von Bundesangestellten (Admin Directory Public)....................................... 69 % 9hrpu q rpuyvpur Shurirqvttr................................................................................. 70 6.1. E-Government und Mindestanforderungen für den Schutz der Privatsphäre* ................................. 70 6.2. Bekämpfung der Schwarzarbeit* ..................................................................................................... 73 & 9hrpu q 9hrvpur urv............................................................................................................. 74 7.1. Chiffrieralgorithmen, die heute als sicher erachtet werden können.................................................. 74 7.2. Sichere Passwörter und andere Authentifizierungsverfahren ........................................................... 75 7.3. Zugang zu Informatiksystemen mittels biometrischer Authentifizierung*....................................... 77 7.4. Protokollierung relationaler Daten: Zweckbindung, Schutz, Archivierung und Vernichtung*........ 80 7.5. EDSB-Office: Ein abgesichertes Geschäftsführungssystem*........................................................... 82 7.6. Umsetzung der Datensicherheit in der Bundesverwaltung............................................................... 84 DDD DIU@SI6UDPI6G@T.............................................................................................................................. 86 @ h h................................................................................................................................................... 86
*: Originaltext auf Französisch
5 ! 7rvrutr @ >vpur Vv..................................................................................................... 90
@ >vpur Fsr r qr 7rhs htr s: qr 9hrpu......................................................... 91 $ P@89......................................................................................................................................................... 93
@sruytr qr @9T7........................................................................................................................ 116 4.1. Empfehlung in Sachen Absenz-Management................................................................................. 116 4.2. Empfehlung in Sachen Nachsendeauftrag der Post ........................................................................119 4.3. Empfehlung in Sachen Drogentests in der Lehre ........................................................................... 122
*: Originaltext auf Französisch
6 WPSXPSU
Die vernetzte Informationsgesellschaft und die Nutzung des Internets haben das Risiko für die Privatsphäre steigen lassen. Es liegt den neuen Technologien zu Grunde, wie auch viele Umfragen und Studien zeigen, dass Personendaten un- kontrolliert von Dritten missbraucht werden können.
Die gegenwärtigen Rechtsvorschriften und die freiwillige Selbstregulierung reichen heute bei Weitem nicht aus, um bei jeder Übertragung von Personen- daten einen ausreichenden Schutz zu gewährleisten. Die aktuelle Konzeption des Datenschutzes nur mit starren rechtlichen Bestimmungen zu agieren, ist keine Antwort für ein sich dynamisch entwickelndes Umfeld der globalen In- formationsgesellschaft. Deshalb ist es an der Zeit, technische Lösungsansätze für den Schutz der Privatsphäre in der globalen Informationsgesellschaft anzu- streben. Dafür ist es jedoch notwendig, dass Multimediadienste konsequent und systematisch datenschutzrechtliche Anforderungen durch datenschutzintegrie- rende Systemlösungen technisch umsetzen.
Die Technologie, die dafür sorgt, dass Personendaten gespeichert, genutzt und weitergegeben werden, soll auch für den Schutz der Privatsphäre des Bürgers genutzt werden. Dafür müssen technische Verfahren eingesetzt werden, die das Prinzip der Datensparsamkeit umsetzen, die Verwendung von Anonymisie- rungs- und Pseudonymisierungsverfahren ermöglichen, die Einwilligung des Benutzers zur Erhebung und Nutzung seiner Daten elektronisch verlangen und die Ausübung des Auskunftsrechts elektronisch ermöglichen.
Überdies können Gütesiegel, welche gemeinsame Prüfungs- und Bewertungs- kriterien von Informationssystemen definieren, zum Schutz der Privatsphäre beitragen. Dafür ist jedoch eine Diskussion auf internationaler Ebene erforder- lich, um einen grenzüberschreitenden und gesamteuropäischen Kriterienrahmen zu schaffen. Gütesiegel mit einer objektiven Umsetzung von datenschutz- rechtlichen Anforderungen, verbunden mit einer technisch normierten Zertifi- zierung können einen wesentlichen Baustein zur technologischen Konkretisie- rung des Datenschutzes auf nationaler und internationaler Ebene bilden.
Damit aber der technologische Ansatz der Umsetzung des Datenschutzes erfolg- reich sein kann, muss er von allen im Datenbearbeitungsprozess beteiligten Akteuren (Benutzer, Unternehmen, Staat) akzeptiert werden, praxistauglich sein, den Schutz der Privatsphäre verbessern und marktwirtschaftlich tragbar sein. Odilo Guntern
7 67FSaVIBTW@Sa@D8CIDT
BAP Bundesamt für Polizei BKP Bundeskriminalpolizei BSV Bundesamt für Sozialversicherung BWIS Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit DAP Dienst für Analyse und Prävention DOSIS Datenverarbeitungssystem zur Bekämpfung des illegalen Drogenhandels EDI Eidgenössisches Departement des Innern EJPD Eidg. Justiz- und Polizeidepartement EMRK Europäische Menschenrechtskommission ESBK Eidgenössische Spielbankenkommission FAMP Datenverarbeitungssystem zur Bekämpfung der Falschmünzerei, des Menschen- handels und der Pornografie FMH Verbindung der Schweizer Ärzte (Foederatio Medicorum Helveticorum) FZG Freizügigkeitsgesetz GEWA Datenverarbeitungssystem zur Bekämpfung der Geldwäscherei GwG Bundesgesetz zur Bekämpfung der Geldwäscherei im Finanzsektor ISA Informationssystem Ausweisschriften ISIS Staatsschutz-Informations-System ISOK Datenverarbeitungssystem zur Bekämpfung der organisierten Kriminalität IV Invalidenversicherung JANUS Gemeinsames Informationssystem der kriminalpolizeilichen Zentralstellen des Bundes KKJPD Konferenz der kantonalen Justiz- und Polizeidirektorinnen und -direktoren KKPKS Konferenz der kantonalen Polizeikommandanten der Schweiz KVG Bundesgesetz über die Krankenversicherung OSZE Organisation für Sicherheit und Zusammenarbeit in Europa RIPOL Automatisiertes Fahndungssystem SRO Selbstregulierungsorganisation UNO Vereinigte Nationen ZAS Zentrale Ausgleichkasse ZentG Bundesgesetz über die kriminalpolizeilichen Zentralstellen des Bundes
8 D 6VTB@XCGU@ UC@H@I
Qyvrvrr
Q wrx CIrr Tpurvr QhD
D Shur qr @vpxyt qr rr Tpurvr Qhr qr qr @ s rvr 7qrtrrr r h irvr qh x:svt qvr Srput qyhtr s: qh Ds hvr 6rvpu vsr DT6 ivyqr yy Xv irrvyvtr h qr C6 irvt r SrpuD vr h CQ wrxhpuD qr Q wrx 6rvpu vsr qr 7qrhr s: Qyvrv q uhir v r puvrqrr Q wrxuhr rvtrpuhyr D r r r tr tvtr v uh>puyvpu hs qvr Q iyrhvx qr at vss rpur DT6Tr rv0 v s qr r qh r vpu rvr uv rvr 6qvv hvqhrihx xrvr Qyvrvqh rihx uhqry :r q
r r Q r qr Qr hyvvr t q qr @ ryyt qr Q>r
Am 28. Juni 2000 verabschiedete der Bundesrat die Botschaft zum Bundesge- setz über die Ausweise für Schweizer Staatsangehörige. Die Annahme der Botschaft markiert für den Datenschutz eine wichtige Etappe in diesem breit angelegten Projekt. Der dem Parlament unterbreitete Gesetzesentwurf soll künftig die Rechtsgrundlage des Informationssystems Ausweisschriften (ISA) darstellen und die geltenden Verordnungen über den Schweizer Pass und über die Identitätskarte ersetzen.
Zahlreiche Fragen im Rahmen der Vorbereitung der Botschaft berührten direkt den Datenschutz. Wir arbeiteten in der Lösungssuche eng mit dem Bundesamt für Polizei (BAP) zusammen und beteiligten uns insbesondere an der «Arbeits- gruppe Recht» und am «Projektausschuss» des Projekts Ausweisschriften. Nach den ersten Arbeitsschritten sahen wir uns veranlasst, vor der Gefahr zu warnen, das ISA-System könnte sich - wegen bestimmter geplanter Zugriffsrechte für Polizeibehörden - von einer Administrativdatenbank in eine Polizeidatenbank verwandeln. Ausserdem wiesen wir im Mitberichtsverfahren an den Bundesrat bei der Eröffnung des externen Vernehmlassungsverfahrens auf das Problem hin.
Im Laufe der Projektänderungsphase, die auf das externe Vernehmlassungsver- fahren folgte, wurde vor allem das Zugriffsrecht abgeändert. Wir äusserten uns zur endgültigen Fassung des Botschaftsentwurfs und betonten, dass die Zu- griffsrechte per Abrufverfahren, die dem Grenzwachtkorps, den von den Kan- tonen bestimmten Polizeidiensten und dem für die Bearbeitung von Identitäts-
9 kontrollgesuchen aus dem Ausland zuständigen Bundespolizeidienst gewährt werden, nur für klare und gesetzlich verankerte Zielsetzung galten (nämlich nur zur Identitätskontrolle oder zur Registrierung von Ausweisverlusten) und unserer Auffassung nach dem Verhältnismässigkeitsprinzip genügten. Wie aus der Botschaft eindeutig hervorgeht, dürfen die Zugriffsrechte nur im Rahmen der Aufdeckung von Missbräuchen zur alltäglichen Identitätskontrolle ausgeübt werden.
Ausserdem plädierten wir dafür, die Wechselwirkung zwischen dem Informationssystem Ausweisschriften ISA und dem automatisierten Fahndungs- system RIPOL im Gesetz klar zu regeln. Der Gesetzesentwurf sieht denn auch bei Verlust von Identitätsausweisen einerseits die polizeiliche Meldepflicht und Erfassung im RIPOL-System und andererseits die automatische Übermittlung der Verlustanzeige vom RIPOL-System an das ISA-System vor.
Was die Produktion des neuen Schweizer Passes betrifft, befürworteten wir schliesslich den Beschluss des Eidgenössischen Justiz- und Polizeidepartements und des Eidgenössischen Finanzdepartements, den Auftrag zur Gestaltung der Pässe einem Privatunternehmen zu erteilen, aber die Personalisierung und Her- stellung des Passes innerhalb der Bundesverwaltung abzuwickeln. Das Unter- nehmen, das den Auftrag erhält, liefert die verschiedenen Bestandteile des neuen Schweizer Passes (Papier, Einbandmaterial, Sicherheitselemente und Produktionsmaschinen), während das Bundesamt für Bauten und Logistik für die Personalisierung und Ausfertigung der Pässe verantwortlich ist. Diese Lösung garantiert eine unabhängige und fälschungssichere Herstellung der Ausweise innerhalb der Bundesverwaltung, zumal die Personendaten in der Hand der Bundesstellen bleiben und nicht im Outsourcing an eine Privatfirma vergeben werden.
Wir werden unsere Begleit- und Beratungstätigkeiten im Rahmen des Projekts fortsetzen. Dazu werden wir die Verhandlungen im Parlament weiter verfolgen, uns an etwaigen Anhörungen in Kommissionen beteiligen und Stellungnahmen zum Verordnungsentwurf, der derzeit im BAP ausgearbeitet wird, formulieren.
! Sr thvhv wrxr T y q Vv
a ir :st qr Axv x r qr purvr vpur Qyvrviru; qr qr rv Q wrxr rvpxry) Hv qr Q wrx CT yD r uvry qh 7qrh s: Qyvrv qr 6s ht qvr T x r qr Qyvrvir rvpu qr 7qr :ir :sr 7rv Q wrx CVvD yy rvr @vqtr;vpur Ev q Qyvrvqrh rr vr qr Fsr r qr Fhhyr Ev q Qyvrvqv rx r irhs htr Q wrxt r qh tyihyr Tr qr Dr r Tvpur urv Tpurv :ir :sr 9h vpu irvqr Q wrxr
10 r uriyvpu hs qvr 9hrirh irvt q pu Qyvrviru; qr hv xr qr v hs trs qr qh h irrvyvtr
Hauptziel der Projektgruppe «T y war die optimale Eingliederung der neuen Funktionen in das Bundesamt für Polizei (BAP), vor allem im Rahmen der Überführung der Bundespolizei und des Sicherheitsdienstes der Bundes- verwaltung aus der Bundesanwaltschaft in das BAP. Im Laufe dieser Arbeiten waren wir regelmässig beratend tätig und wiesen vor allem auf die rechtlichen Folgen (Änderung von Gesetzen und Verordnungen) hin, die einige zur Diskus- sion stehende Umstrukturierungsvarianten beinhalteten. Ausserdem betonten wir, dass die Konsequenzen der Projekte für die Datenbearbeitung durch die verschiedenen Polizeieinheiten hinsichtlich der geltenden Gesetzesnormen und der gewährten Zugriffsrechte zu überprüfen seien.
Die Arbeiten mündeten in einer Umstrukturierung zahlreicher Dienststellen in- nerhalb des BAP sowie in der Überführung verschiedener Einheiten in andere Ämter (so werden z.B. das Strafregister, die Rechtshilfe und die Auslieferung in das Bundesamt für Justiz transferiert). Die Veränderungen erforderten eine An- passung zahlreicher Verordnungen des Bundesrates, die wir aus datenschutz- rechtlicher Sicht prüften.
Auf der Grundlage der Resultate des Projekts «T y beschloss das Eidge- nössische Justiz- und Polizeidepartement (EJPD), die nachrichtendienstlichen und die kriminalpolizeilichen Aufgaben, welche bislang von der Bundespolizei und den kriminalpolizeilichen Zentralstellen geleistet wurden, neu zu verteilen: Der neue Dienst für Analyse und Prävention (DAP) beschafft - nach den Vor- schriften des Bundesgesetzes über Massnahmen zur Wahrung der inneren Si- cherheit - Informationen insbesondere über Terrorismus, gewalttätigen Extre- mismus und verbotenen Handel mit Waffen. Er wertet diese Informationen zu- handen der politischen Behörden und der Strafverfolgungsbehörden aus. Die neue Bundeskriminalpolizei (BKP) führt alle gerichtspolizeilichen Vorermitt- lungs- und Ermittlungsverfahren in Bundeszuständigkeit durch. Die neue Gliederung ist am 1. Januar 2001 in Kraft getreten. Wir werden uns vor allem mit der Verteilung der Datenbearbeitungsaufgaben auf die verschiedenen Polizeistellen noch eingehend auseinander setzen.
Das Projekt «Vv ging über die im BAP ergriffenen Reorganisationsmass- nahmen hinaus. Die Projektgruppe «Vv wurde vom EJPD und der Konferenz der Kantonalen Justiz- und Polizeidirektoren (KKJPD) beauftragt, das gesamte System der Inneren Sicherheit Schweiz zu überprüfen. Die Hauptaufgabe be- steht in der Untersuchung der Aufgabenverteilung zwischen Bund und Kanto- nen im Polizeibereich.
11 Die Arbeitsgruppe untersuchte zunächst die geltende Aufgabenverteilung im Polizeibereich sowie die finanziellen Aufwendungen. Wir verlangten, alle ge- planten Veränderungen in der polizeilichen Zusammenarbeit auch im Lichte der Gesetzesgrundlagen für den Austausch von Personendaten unter Polizeibehör- den zu prüfen. Ausserdem machten wir das Projektteam «Recht» darauf auf- merksam, dass konkret abgeklärt werden müsse, welche Informatiksysteme der Polizei das Projekt «Vv betreffe. Die Gruppe begann mit der Untersuchung der Polizeikompetenzen auf Bundes- und Kantonsebene, stellte die geltenden Gesetze zusammen und untersuchte, welche Normen insbesondere aus daten- schutzrechtlichen Gründen gegebenenfalls revidiert bzw. geschaffen werden müssen.
Parallel zum Projekt «Vv der KKJPD läuft ein Projekt der Konferenz der kantonalen Polizeikommandanten der Schweiz (KKPKS) unter dem Namen «Polizei XXI». Ziel des Projekts ist, die Standpunkte der Kantone zur Zusam- menarbeit untereinander, mit dem Bund und mit dem Ausland in Erfahrung zu bringen. Im Laufe des Jahres 2000 wurde der Projektzeitplan von «Vv abge- ändert, damit die Ergebnisse des Projekts «Polizei XXI» einbezogen werden können. Wir werden unsere Mitwirkung am Projekt «Vv fortsetzen und die Einhaltung der Datenschutzauflagen in der geplanten Reorganisation des Poli- zeibereichs im Auge behalten.
" 9hrirh irvtr v 7r rvpu qr By:pxvryr q Tvryihxr 8hv
7rv qr @v rvput Frvtrpur q pu 8hv :r qvrr r hqr r qrhvyyvr r 6thir :ir Wr hyt >r q h Tvryir vri irrvyvtr Qr hy hpur 9h qh 7qrtrr :ir By:pxvryr q Tvryihxr r h 6 vy ! v F hs tr rr v xh v wrvtr arvx pu vpu hipuyvrrq ir rvy r qr rypur 6thir r u>yv>vt vq @ tvy hixy> r rypur 9hr s: rvr vpur r q hh rr Tvryir vri rqvt vq aqr yy vpur trryy r qr qh v qr 6thir qvr F vvhyv> q qvr Bryq>pur rv v qr q pu Tvryihxr r uvqr v q D rv iv q rv Ehu r yyr rvr @hyhv qr Thpuyhtr hsvqr
Am 1. April 2000 ist das Bundesgesetz über Glückspiele und Spielbanken (Spielbankengesetz) in Kraft getreten. Die Spielbanken hatten sechs, resp. zwölf Monate Zeit, um bei der Eidgenössischen Spielbankenkommission (ESBK) zu- handen des Bundesrats ein Konzessionsgesuch einzureichen. Im Zusammen-
12 hang mit den dafür von der ESBK verlangten Unterlagen und Angaben gelang- ten einige Anfragen an uns.
In einem Fall war zu überprüfen, welche Angaben eine bei einem Casino ange- stellte Person im Rahmen des Konzessionsgesuchs machen muss. Bei ihrer Tä- tigkeit musste diese Person unter anderem Geld zählen, Münzen und Währun- gen wechseln sowie bei den Spielautomaten Schecks ab Fr. 200.-- auszahlen. Gemäss ESBK galt diese Person als «am Spielbetrieb beteiligtes Personal» und musste gemäss der Spielbankenverordnung einen detaillierten Lebenslauf ein- reichen und einen ausführlichen Fragebogen der ESBK ausfüllen. Dabei war zu beachten, dass bei der Erteilung einer Konzession überprüft werden muss, ob das Casino einen sicheren und transparenten Spielbetrieb gewährleisten kann und die Verhinderung der Kriminalität und der Geldwäscherei in oder durch Spielbanken sichergestellt ist. Allerdings war und ist es äusserst schwierig fest- zustellen, welche Unterlagen und Angaben zu einem detaillierten Lebenslauf gehören und/oder für die Gewährleistung der Überwachung des Spielbetriebs und damit auch der Verhinderung der Geldwäscherei nötig und geeignet (Ver- hältnismässigkeitsprinzip) sind. Dies trifft umso mehr zu, als das Spielbanken- gesetz erst am 1. April 2000 in Kraft getreten ist und auf diesem Gebiet bisher noch nicht viele Erfahrungen gesammelt werden konnten. Nach Überprüfung der verlangten Angaben und Unterlagen kamen wir zum Schluss, dass diese datenschutzrechtlich grösstenteils in Ordnung waren. Wir wiesen die betroffene Person jedoch auf einige Punkte hin, die unseres Erachtens gewisse Vorbehalte hervorrufen. Trotzdem rieten wir der Person, alles wie verlangt einzureichen. Die ESBK wiesen wir darauf hin, dass nach Ablauf von zwei bis drei Jahren eine erneute Evaluation der Situation angezeigt wäre. Dabei müsse dann über- prüft werden, welche Daten für den verfolgten Zweck - insbesondere Bekämp- fung der Geldwäscherei - wirklich nötig und geeignet sind.
In einem anderen Fall ging es um die Frage, welche Angaben und Unterlagen bestimmte Personen - wie zum Beispiel Verwaltungsräte - einreichen müssen. Gemäss dem Spielbankengesetz müssen diese Personen einen guten Ruf genie- ssen und Gewähr für eine einwandfreie Geschäftstätigkeit bieten. Die für den Nachweis des guten Rufs verlangten Dokumente werden sodann in der Spiel- bankenverordnung aufgeführt. Für die aufgeführten Dokumente bestand und besteht somit eine gesetzliche Grundlage, weshalb wir diesbezüglich keine Einwände hatten. Daneben verlangte die ESBK eine Liste sämtlicher Verwal- tungsratsmandate der Verwaltungsratsmitglieder der Spielbanken. Die ESBK hielt fest, dass dies zum Lebenslauf eines Verwaltungsratsmitglieds gehören würde. Dabei stützte sie sich auf die Praxis der Eidgenössischen Bankenkom- mission. Aus diesen Gründen hatten wir auch gegen die Einreichung der ver- langten Dokumente nichts einzuwenden. Wir wiesen die ESBK jedoch auch in diesem Fall darauf hin, dass nach einiger Zeit eine Evaluation der Sachlage stattfinden müsse.
13
Zu klären war schliesslich, welche Unterlagen die ESBK im Rahmen ihrer Be- aufsichtigungsfunktion verlangen darf. Dabei kann die ESBK überprüfen, ob die Spielbank ihrer Meldepflicht nachgekommen ist. Dies kann sie jedoch nur machen, wenn sie die gleichen Unterlagen verlangen kann wie bei einer Kon- zessionserteilung. Braucht die ESBK zur Wahrnehmung ihrer Beaufsichtig- ungsaufgaben weitere, weder im Spielbankengesetz noch in der Verordnung vorgesehene Personendaten, müssten dafür die entsprechenden gesetzlichen Grundlagen geschaffen werden.
@ shu tr v qr vqv rxr 6xs rpu
9h Cvqv rxrD 6xs rpu v rvr rv v 7qrtrr :ir Hhhur Xhu t qr vr r Tvpur urv s: qh ThhpuDs hvTr DTDT trrur 6qr r rv tvy r hpu tr> qr 7qrtrr :ir qvr x vvhyyvrv yvpur ar hyryyr qr 7qr s: qvr Trr E6IVT ivur 9PTDT DTPF q A6HQ q B@X6 7r rssrq qh irv qrr 6:it hrqrqr Wr shu r xr v irvqr A>yyr rvr r @ shu tr trhry r qr
Auch im vergangenen Jahr trafen verschiedene «indirekte» Auskunftsgesuche bei uns ein. Dabei fällt auf, dass die Anzahl der Gesuche gemäss dem Bundes- gesetz über Massnahmen zur Wahrung der inneren Sicherheit (BWIS) für das Staatsschutz-Informations-System ISIS in letzter Zeit leicht abgenommen hat. Dagegen stieg die Anzahl der zu behandelnden «indirekten» Auskunftsgesuche gemäss dem Bundesgesetz über die kriminalpolizeilichen Zentralstellen des Bundes (ZentG) an. Immer häufiger sind zudem diejenigen Personen, die ihr Auskunftsrecht sowohl nach BWIS als auch nach ZentG ausüben.
Im letzten Tätigkeitsbericht (siehe 7. Tätigkeitsbericht 1999/2000, S. 11 ff.) wurde bereits darauf hingewiesen, dass in enger Zusammenarbeit mit den ein- zelnen Einheiten des Bundesamts für Polizei (BAP) ein klares, einheitliches Verfahren zum Ablauf der Ausübung der «indirekten» Auskunftsrechte erar- beitet worden war. In diesem Zusammenhang konnten mit den betroffenen Stellen unterschiedliche Erfahrungen gesammelt werden. Diesbezüglich ist noch darauf hinzuweisen, dass die Systeme ISOK, DOSIS und FAMP der kri- minalpolizeilichen Zentralstellen auf den 1. Juli 2000 in ein einziges Informati- onssystem namens JANUS zusammengeführt wurden. Auf die Ausübung der Auskunftsrechte hatte dies allerdings keinen Einfluss.
Die Zusammenarbeit mit der Bundespolizei (seit 1. Januar 2001 Dienst für Analyse und Prävention), die für das ISIS-System zuständig ist, verlief rei-
14 bungslos. Für alle Auskunftsgesuche konnte hier das erarbeitete einheitliche Verfahren angewendet werden.
Im Zusammenhang mit verschiedenen Auskunftsgesuchen nach ZentG verlief die Überprüfung bei der Meldestelle für Geldwäscherei für das System GEWA ohne Hindernisse. Für das System JANUS dagegen mussten wir an die krimi- nalpolizeilichen Zentralstellen des Bundes eine Empfehlung richten, um einige Unstimmigkeiten berichtigen zu lassen. Dabei ging es unter anderem um ein nicht erfasstes sowie ein nicht auffindbares Dokument. Vor allem aber wiesen wir in der Empfehlung darauf hin, dass auch bei den kriminalpolizeilichen Zentralstellen des Bundes das gleiche Verfahren wie bei der Bundespolizei an- gewendet werden sollte. Das BAP akzeptierte die Empfehlung, korrigierte die aufgezeigten Unstimmigkeiten und machte eine schriftliche Zusammenfassung des anzuwendenden Verfahrens. Darauf konnten die noch hängigen «indirek- ten» Auskunftsgesuche überprüft werden.
Beim JANUS-System handelt es sich um ein reines Informationssystem. Dies hat zur Folge, dass nicht alle Papier-Unterlagen in das System aufgenommen werden. Zudem werden verschiedene Informationen direkt von den Kantonen in das System eingegeben, wobei das BAP oft keine Kopie der Unterlagen in Pa- pierform erhält. Unter diesen Bedingungen kann das BAP nicht gewährleisten, dass bei der Behandlung der Gesuche sämtliche Personendaten der betroffenen Person, die durch die kriminalpolizeilichen Zentralstellen des Bundes bearbeitet werden, überprüft werden können. Das im ZentG geregelte indirekte Auskunfts- recht bezieht sich aber sowohl auf das Informationssystem JANUS, als auch auf die Unterlagen in Papierform. Aus diesen Gründen haben wir das BAP darauf hingewiesen, dass es eine Lösung finden müsse, die die vollständige Anwen- dung des Auskunftsrechts nach dem ZentG erlaubt.
! Uryrxvxhv q Q
Uryrxvxhv
! Thhyvpur ir hput Q q Ar ryqrr xru
9h rr 7qrtrr ir rssrq qvr ir hput qr Q q Ar ryqrr xru qh hvpuyvpu pu v qvrr Ehu v F hs rr v q v vtrh v qr trr ryyr 9hrput q>r r rvih 9h Brr v q tryr s: hyyr hh yvpur P thr s: @v vputr qvr qr Frv qr 7rxhhputsyvpu r yvrtr q Q qr Ar ryqrqvrr hivrr 6pu v r hrqih s: Dr
15 r Tr vpr Q vqr DTQ r irv T hsr shu r hs 7qr qr Fhrirr qvr ir hput r Q qr Ar ryqrrr htr qr q htrs:u v q
Die im November 1998 durch die Rechtskommission des Nationalrates einge- setzte Subkommission «Telefonüberwachung» (siehe 6. Tätigkeitsbericht 1998/1999, S. 15-17) hat 1999 einen Bericht vorgelegt, der zum Entwurf des Bundesrates vom 1. Juli 1998 einen Gegenentwurf mit folgenden Schwerpunkten enthielt:
Im Dezember 1999 wurde der Gegenentwurf der Rechtskommission des Natio- nalrates von letzterem genehmigt. Bei der Prüfung des Gesetzesentwurfs durch den Ständerat hat dessen Rechtskommission unter anderem die Aufnahme einer neue Vorschrift vorgeschlagen. Diese soll die Anbieter von Fernmeldediensten verpflichten, Teilnehmer ohne Abonnement während mindestens zwei Jahren nach Eröffnung einer Geschäftsverbindung in der Mobiltelefonie zu identifi- zieren und auf Anfrage die Verkehrs- und Rechnungsdaten zu liefern. Dieser Vorschlag wurde im Juni 2000 durch den Ständerat angenommen. Im Septem- ber 2000 bekräftigte der Nationalrat seine Position, Benutzer von Mobil- telefonen mit Prepaid-Karten nicht zu registrieren. An dieser unterschiedlichen Auffassung hielten beide Räte weiterhin fest, bis die Schlichtungskonferenz im Oktober 2000 vorschlug, sich der Position des Nationalrates anzuschliessen. Dieser Vorschlag wurde angenommen. Unserer Auffassung nach ist die Identi- fikation und die Registrierung der Käufer von Prepaid-Karten für die Mobiltele- fonie weder notwendig noch geeignet, das erwünschte Ziel - nämlich die Ver- brechensbekämpfung - zu erreichen. Eine zusätzliche Datenbearbeitung würde die Gefahr neuer Missbräuche mit sich bringen und verstösst gegen das Ver-
16 hältnismässigkeitsprinzip. Im Februar 2000 haben wir diesen Standpunkt erneut vor der Subkommission «Telefonüberwachung» der Rechtskommission des Ständerates verteidigt.
Das neue Bundesgesetz betreffend die Überwachung des Post- und Fernmelde- verkehrs, das voraussichtlich noch in diesem Jahr in Kraft treten wird, tritt an die Stelle der in der Bundesgesetzgebung über die Strafrechtspflege enthaltenen einschlägigen Bestimmungen. Hier ist zu erwähnen, dass das neue Gesetz nicht nur für die im Rahmen eines Bundesstrafprozesses angeordnete und durchge- führte Überwachung des Post- und Fernmeldeverkehrs Anwendung finden wird, sondern ebenfalls im Rahmen kantonaler Strafverfahren. Die zur Ausführung eines internationalen Rechtshilfeantrages in Strafsachen angeordneten und durchgeführten Überwachungen fallen ebenfalls in den Geltungsbereich des neuen Gesetzes, das sowohl für Anbieter von Post- und Fernmeldediensten als auch für Internet Service Provider gilt.
Q
!! 9vr Ihpurqrs yh r qr Q q qvr 6q rhxhyvvr t Q98G
9vr ir rv y>tr r arv qhr qr 9vxvr qvr Q iyrhvx qr Ihpurqr s yh r qr Q q qr 6q rhxhyvvr t xh v yrr Ehu rvr Tpu v rvr 9vr Q uh hxrvr qvr vh Vts yh r r uirr 9hr qh 9 vr s: qvr 6q rhxhyvvr t Wr s:tt ryyr r qvr Q xqr qhv rvr hqr vq F vvvr qr qvr r r Q rvqvssr r s: Fqr qvr rvr 6q rhxhyvvr t vqr rpur vr qvr rvy pur r >qyvpur A yvr tr hs qr A yh r
Die schweizerische Post bietet (siehe auch 7. Tätigkeitsbericht 1999/2000, S. 24) für Kunden, die umziehen, den Nachsendeauftrag an. Mit einem Formular werden die geänderten Adressangaben erfasst, um die Postsendungen an die neue Adresse weiterleiten zu können. Das Weiterleiten von Sendungen mit einer alten und nunmehr unrichtigen Adresse verursacht hohe Kosten, weshalb die Post alles daran setzt, dass möglichst viele Absender von Postsendungen möglichst schnell in den Besitz der neuen Adresse kommen und von vornherein korrekt adressieren. Zusammen mit der Firma Data Care AG bietet die Post die Dienstleistung «MAT[CH]move» an, die eine Aktualisierung von Post- Adressen umfasst.
17 Zu Beginn des Jahres 2001 hat die Post nun neue Formulare eingeführt, bei denen das Recht, eine Adressaktualisierung für Dritte abzulehnen, den Kunden «offiziell» zugestanden wird. Dies haben wir seit längerer Zeit gefordert. Der umziehende Kunde kann nun seine Entscheidung mit einem Kreuz dartun. Wird die Adressaktualisierung für Dritte nicht akzeptiert, bedeutet dies für den Kun- den einen finanziellen Mehraufwand.
Im letzten Jahr hat der Bundesrat auf Antrag der Post bzw. des UVEK die Post- verordnung geändert. Es ist nun explizit erwähnt, dass die Post Adressen von Kunden Dritten für das Nachführen ihrer eigenen Adressdatensammlungen zur Verfügung stellen kann, sofern die betroffene Person eine Bearbeitung nicht ausdrücklich untersagt hat. Diese Bestimmung gibt der Post allerdings keine zu- sätzlichen Datenbearbeitungsmöglichkeiten, da lediglich die ohnehin im Daten- schutzrecht vorgesehenen Einwilligungserfordernisse beschrieben werden.
Im Sinne einer besseren Transparenz für den Kunden haben wir der Post ver- ständlichere Formulierungen des Kleingedruckten der Formulare vorgeschla- gen. Beispielweise wird vom «Absender» gesprochen, der Adressen aktuali- sieren lassen kann. Die Adressaktualisierung kann jedoch jeder nutzen, unab- hängig davon, ob er eine Sendung aufzugeben beabsichtigt oder einen nicht po- stalischen Zweck verfolgt.
Nicht einverstanden waren wir mit der enormen Preiserhöhung für Kunden, die einer Adressaktualisierung widersprechen. Bezahlten diese bis Ende 2000 10 Franken pro Jahr für die Nachsendung, waren es ab 2001 20 Franken pro Monat, auf ein Jahr gerechnet eine Preissteigerung um das 24-fache oder 2‘300 %. Ein Preisunterschied ist durchaus gerechtfertigt, da in der Regel ein tatsächlicher Mehraufwand der Post erfolgt, falls einer Aktualisierung nicht zu- gestimmt wird. Eine derart extreme Differenz verletzt allerdings das informa- tionelle Selbstbestimmungsrecht der betroffenen Personen. Wir sahen uns daher gezwungen, in dieser Sache eine Empfehlung gegen die Post zu erlassen. Die Post hat unsere Empfehlung abgelehnt und wir haben diese ans UVEK weiter- gezogen.
Es bleibt zu erwähnen ist, dass eine Person, die umzieht, der Post nicht unbe- dingt einen Nachsendeauftrag erteilen muss. Es ist durchaus auch möglich - wenn auch aufwändiger - , Personen, Firmen und Behörden direkt über die neue Adresse zu informieren. Werden trotzdem noch Sendungen an die bisherige Adresse geschickt, werden diese als unzustellbar an den Absender zurück- geschickt.
18 "
DIU@SI@U q qhrpus rqyvpur Urpuytvr
" 9hrpur yrtr v Dr r
7rvhur >tyvpu r qr v v ru qr rvtr t hvr rqr 9hrpur yr tr v Dr r xs vr D Ihpusytrqr ;pur v rvvtr 7rvvryr vrqr trir
Bei einem Internetprovider waren die Benutzernamen und Passwörter der E-Mail-Accounts irrtümlicherweise via Internet zugänglich. Dies führte auto- matisch dazu, dass Suchmaschinen die Daten sammelten und bei Übereinstim- mung als Suchresultate ausgaben. Mit den Angaben konnten die elektronische Post nicht nur gelesen werden, sondern es konnten auch Meldungen verschickt oder gelöscht werden. Nachdem das Leck von einem Journalisten entdeckt wurde, behob die betroffene Firma dieses sofort. Grund der Panne war ein simpler, aber folgenschwerer Konfigurationsfehler, der offenbar mehrere Wochen bestand, ohne dass die Firma diesen selbst bemerkte. Dies führte zu einer Überprüfung der technischen und organisatorischen Massnahmen.
Bankkunden wurden durch Medienberichte aufgeschreckt, ihre Zahlungsinfor- mationen samt Adresse seien im Internet frei zugänglich gewesen. Es handelte sich keineswegs um eine Sicherheitslücke des Online-Banking-Systems der betreffenden Bank. Die Daten waren unabsichtlich in einen Testbereich gespiesen worden, der für fiktive Daten gedacht und daher bewusst nicht ge- schützt war. Dieser Fall zeigt einmal mehr, dass auch mit den besten techni- schen Sicherheitsmassnahmen nicht verhindert werden kann, dass sensible Daten in einen Bereich des Netzes gespiesen werden, der ausdrücklich für einen allgemeinen Zugang geschaffen wurde (Testbereich, Newsgroups, Homepages etc.) Irrtümer sind bekanntlich menschlich und sie werden nie gänzlich zu ver- meiden sein. Allerdings müssen die Ablaufprozesse so gestaltet sein, dass ein- zelne Fehlhandlungen nicht zu einem Desaster führen, sondern – falls nötig durch mehrfache Kontrollen – aufgefangen werden.
Auch in diesem Jahr mussten wir bei Betreibern von Webcams intervenieren. Immer wieder werden auf öffentlichen Strassen oder Plätzen solche Live-Ka- meras installiert. Da von den betroffenen Personen, die sich an diesen Orten aufhalten, keine Einwilligung verlangt werden kann, müssen die Kameras so konfiguriert werden (Aufnahmewinkel, Auflösung), dass die Personen nicht er- kennbar sind.
19 "! Q"Q @ rvr rpuvpur B qyhtr Tryiqhrpu
9r rpuvpur Thqh q CQyhs s Q vhp Q rsr rpr Q wrp Q"QD v rvr vpu vtr B qyhtr qr Tryiqhrpu v Dr r r :r Hv Q"Q yyr 7 r x:svt hhvpu :ir :sr i qvr Ir rvtrtrirr 9hr pu >sr rr v qr Q hv qr Xrihtrir :ir rvvr
P3P ist ein technischer Standard der vom World Wide Web Consortium (W3C) entwickelt wurde. Bei der Implementierung von P3P in Webangebote und Browser können die Benutzer entscheiden, ob und welche Personendaten sie über sich selbst preisgeben möchten. Wenn das Webangebot eine Datenschutz- erklärung ausweist, erhält der Nutzer automatisch eine Meldung, wie Personen- daten auf diesem Webangebot bearbeitet werden. Zudem erhält der Webnutzer eine Warnmeldung, sofern die Datenbearbeitungen der Website mit seinen Nut- zungspräferenzen nicht übereinstimmen.
Grundvoraussetzung für die erfolgreiche Einführung und Nutzung ist die Ein- bindung dieses Standards durch die Webbetreiber und Dienstleistungsanbieter im Internet. Denn sofern ein Webanbieter sein Angebot nicht P3P-fähig ge- staltet hat, funktioniert die automatische Überprüfung nicht. P3P kann ohne passende technische Umgebung nicht funktionieren.
Wir sind der Ansicht, dass P3P eine Hilfe für Internetbenutzer ist. P3P unter- stützt den Einzelnen bei der Kontrolle seiner Personendaten, indem er ihm die Möglichkeit gibt zu wissen, welche seiner Daten in welchem Umfang und in welcher Art bearbeitet werden. Somit wird die Bearbeitung von Personendaten für den Einzelnen transparenter und folglich wird auch das Vertrauen der Be- nutzer gegenüber Internet-Unternehmen gestärkt. Deshalb raten wir Dienstlei- stungsanbietern im Internet standardisierte maschinenlesbare Datenschutzer- klärungen zu erarbeiten, die den Benutzern und potenziellen Kunden eine trans- parente Information über die Verwendung ihrer Daten geben.
9hrpu q @8r pr
Irqvtr @yrrr s: qvr Wr thir rvr B:rvrtry v @8 r pr h qhrpu rpuyvpur Tvpu
9r tyihyr 8uh hxr qr ryrx vpur Brpu>sr xru @8r pr i vt rvr vrvr 6hpu Qr rqhr v vpu qr r V>qr qvr Q v hu> r qr ir ssrr Qr r r yrr xh 9ruhyi v r t ;r 7r
20 qrt qh qvr B q vvvr qr 9hrpur hpu v Vsryq qr @8r pr 6rqt svqr V qh Wr hr qr 7rr v qr @8r pr > xr yyr
vr qvr hpu 9TB htrr v q
qvr 6ivrr qvr Fqrqhr hh r irh irvr Tvr :r qvr 7rr vs vr r rypur Qr rqhr vr s: rypur arpx ir h irvr ;pur 6st q qvrr ir yrttr irt :r v qvr Tpuhsst rvr B:rvrtry qh h qvr qhrpuxs r 7rh irvt Qr rqhr th h vr q v qh Wr hr qr Fqr v qr @8r pr > x
Bei einem Gütesiegelverfahren gilt als Grundvoraussetzung, dass die gesetz- lichen Anforderungen für den Schutz der Privatsphäre mittels einer Normierung technisch umgesetzt werden. Für die Wirksamkeit eines Gütesiegels müssen aus datenschutzrechtlicher Sicht folgende Anforderungen und Prüfungskriterien berücksichtigt werden:
Wr yyvpur Q rirvqr Wr thirqrBrvrtry
Die Vergabe des Gütesiegels darf nur über einen transparenten Vergabeprozess mit nachvollziehbaren Prüfungskriterien erfolgen. Deshalb muss sichergestellt werden, dass das Verfahren zur Erteilung des Gütesiegels sowie die Prüfungs- kriterien klar definiert und in einer verbindlichen Norm festgelegt werden. Der somit klar festgelegte Zertifizierungsvorgang hat anschliessend zur Vergabe des Gütesiegels zu führen durch eine dafür geeignete Institution im Rahmen eines Auditverfahrens.
@vuhytqVrtqr trryvpur9hrirh irvtt qr
Vor der Vergabe des Gütesiegels ist die Einhaltung der gesetzlichen Anforder- ungen für die Bearbeitung von Personendaten über den Zertifizierungsvorgang zu überprüfen. Deshalb müssen insbesondere folgende Anforderungen geprüft werden:
21 Wr ivqyvpur F yy rvThxvrqHhhurirvIvpurv uhytqr Srtry
Mittels eines verbindlichen und verlässlichen Prozesses muss nach der Vergabe des Gütesiegels die Nachkontrolle, z.B. auf jährlicher Basis, gewährleistet werden. Bei Nichteinhaltung der Anforderungen und Regeln sind schliesslich auch Sanktionen und Massnahmen vorzusehen wie z.B. der Entzug des Güte- siegels.
7r pxvpuvttqr r vpur6s qr trvThpur9hrpu
Die europäischen gesetzlichen Anforderungen an die Bearbeitung von Perso- nendaten müssen bei der Prüfung einbezogen werden, damit auch die interna- tionale Verlässlichkeit des Siegels erwirkt werden kann.
#! 6yr hvr T rvirvyrttrpuhvr irv Pyvr@U hhxvr @8r pr
Auf S. 95 sind die wesentlichen Kriterien für den erfolgreichen Einsatz von alternativen Mechanismen zur online-Streitbeilegung zu finden.
$ Qr hyrr
Q vhir rvpu
$ 9 trr v qr Gru r
9r @vqtr;vpur 9hrpuirhs htr uh v ahrh irv v hqr r Ahpu ryyr rvr 7r vpu iyvvr rqipu rypur qvr W hrtr 9 tr r v qr Gru r sru>y Ahyy rv :ir vrtrqr Tvpur urvvr rr vr qvr @vvy yvtt qr Gru yvt vpu trtrir vq q: sr 9 trr vpu htr qr r qr
Sowohl der Eidgenössische Datenschutzbeauftragte (EDSB) als auch andere Fachstellen wurden seit einigen Jahren vermehrt mit der sich verbreitenden Praxis der Drogentests bei Lehrlingen konfrontiert. Aus diesen Gründen ist eine Arbeitsgruppe mit dem Ziel eingesetzt worden, einheitliche Richtlinien für eine persönlichkeitsschutzkonforme Gestaltung von Prävention und Aufdeckung des Drogenkonsums zu konzipieren. Nebst dem EDSB haben auch die Schweizer- ische Fachstelle für Alkohol und andere Drogenprobleme, das Staatssekretariat
22 für Wirtschaft, das Bundesamt für Gesundheit sowie das Bundesamt für Justiz bei der Erarbeitung dieser Richtlinien mitgewirkt. Beigezogen wurden zudem das Institut für Rechtsmedizin in Lausanne, die Berufsbildungsämter sowie Vertreter der Arbeitgeber- und Arbeitnehmerseite. Der Bericht kommt zu fol- genden Schlussfolgerungen:
Drogen können die Arbeitssicherheit gefährden, die Leistung reduzieren, das Klima im Unternehmen beeinflussen oder Kosten verursachen. Nicht selten greift der Arbeitgeber zum Schutz seiner Interessen auf Urintests (auch Dro- gentests genannt) zurück, welche den Drogenkonsum aufdecken sollen. Die ärztliche Massnahme der Urinanalyse stellt jedoch einen Eingriff in die Persön- lichkeit der untersuchten Person dar. Nur ein gegenüber dem Persönlichkeits- schutz überwiegendes Sicherheitsinteresse, verbunden mit der Einwilligung des Lehrlings, kann einen Drogentest rechtfertigen. Der Arbeitgeber ist in solchen Fällen berechtigt, einen Drogentest anzuordnen.
Die Vornahme von Drogentests entbindet aber den Arbeitgeber nicht von der Pflicht, die notwendigen Massnahmen der Arbeitssicherheit zu treffen. Drogen- tests kommt somit nur ein Ergänzungscharakter zu. Die Drogentests sind von einem vom Betrieb unabhängigen Arzt und nach freier Wahl des Lehrlings vor- zunehmen. Wird hingegen der Betriebsarzt zur Durchführung der Drogentests beigezogen, hängt dies von der Einwilligung des Lehrlings ab. Willigt der Lehrling dem Beizug des Betriebsarztes nicht ein, so ist er in der Wahl des Arztes frei. Der Lehrling ist über den Zweck und die Folgen von Drogentests vorgängig zu informieren. Bei fehlender Einwilligung zum Drogentest kann der Lehrling nicht dazu gezwungen werden, hat aber mit den vertraglich vorgese- henen Konsequenzen zu rechnen. Zu bemerken ist, dass die Einwilligung frei, spezifisch sowie ausdrücklich sein muss und erst aufgrund der Aufklärung des Lehrlings über Zweck und Folgen der Drogentests als gültig betrachtet werden kann.
Fehlt jedoch ein überwiegendes Sicherheitsinteresse, stellen Drogentests eine unverhältnismässige Massnahme dar. Die Einwilligung alleine stellt keinen gültigen Rechtfertigungsgrund für Drogentests dar, da ohne überwiegendes Sicherheitsinteresse der Persönlichkeitsschutz gegenüber anderen Interessen des Arbeitgebers überwiegt. In Ausnahmefällen kann die Einwilligung alleine einen gültigen Rechtfertigungsgrund darstellen, wenn die Vornahme eines Drogen- tests im Interesse des Lehrlings liegt. Drogentests würden mangels überwiegen- dem Sicherheitsinteresse nicht zuletzt deswegen einen unverhältnismässigen Eingriff in die Gesundheitssphäre des Lehrlings darstellen, weil die Sicherheit auch mit anderen Massnahmen effizient gewährleistet werden kann. Der Ar- beitgeber darf bei beunruhigenden Auffälligkeiten oder Verhaltensänderungen des Lehrlings Gespräche durchführen, konkrete Ziele und Massnahmen fest- legen oder Sanktionen beschliessen für den Fall, dass die vereinbarten Ziele
23 nicht eingehalten werden. Sofern es zur Besetzung bzw. Weiterbesetzung der Lehrstelle notwendig ist, darf der Arbeitgeber vom Lehrling eine Gesundheits- abklärung verlangen. Die Einwilligung des Lehrlings zur Vornahme der Ge- sundheitsabklärung ist notwendig. Ob in deren Rahmen ein Drogentest vorge- nommen wird bzw. Fragen über den Drogenkonsum gestellt werden, hängt aus- schliesslich vom Entscheid des Arztes sowie von der Einwilligung des Lehr- lings ab (Beziehung Arzt-Patient). Die Vornahme eines Drogentests im Rahmen der Gesundheitsabklärung darf vom Arbeitgeber weder verlangt noch vor- geschlagen werden.
Der Arzt darf dem Arbeitgeber nur den Befund über die Tauglichkeit für die Weiterbesetzung der Lehrstelle bekanntgeben. Angaben über einen allfälligen Drogenkonsum dürfen dem Arbeitgeber nicht gemacht werden (Arztgeheimnis sowie Verhältnismässigkeits- und Zweckmässigkeitsprinzip).
Es ist einzig der Fall denkbar, dass im Rahmen eines umfassenden Begleitpro- gramms des Arbeitgebers gewisse andere unabdingbare Informationen vom Arzt weitergegeben werden dürfen, sofern der betroffene Lehrling seine Ein- willigung dazu gegeben hat. In einem solchen Fall soll die Angabe über den Drogenkonsum dem Arbeitgeber dazu dienen, Hilfsmassnahmen wie Gestaltung von Präventionsprogrammen, gegebenenfalls Finanzierung einer Drogenent- zugstherapie, vorzunehmen. Der Arbeitgeber hat mangels überwiegendem Sicherheitsinteresse seine Aufmerksamkeit nicht lediglich auf das Betäubungs- mittel, sondern auf die gesamte Problematik des Drogenkonsums und seine Folgen zu richten. Nur unter diesen Umständen kann von einer erweiterten Für- sorgepflicht des Arbeitgebers für den Lehrling gesprochen werden. Drogentests alleine besitzen einen Repressions- statt Hilfscharakter und stellen keine ganz- heitliche Lösung von Drogenproblemen in der Jugend dar. Sie können zu wei- teren Problemen wie Diskriminierung des Lehrlings führen.
Willigt der Lehrling dem Drogentest oder der Bekanntgabe der Testresultate an den Arbeitgeber nicht ein und ist ein überwiegendes Sicherheitsrisiko nicht ge- geben, so dürfen ihm daraus keine negativen arbeitsrechtlichen Folgen er- wachsen. Erst die wiederholte Feststellung, dass die Lehrziele nicht erreicht werden können oder dass der Lehrling den Drogenkonsum nicht unter Kontrolle hat, kann zu den vereinbarten Konsequenzen führen. Der Arbeitgeber hat die im Zusammenhang mit dem Drogenkonsum allenfalls bearbeiteten Daten ver- traulich zu behandeln.
Die Situation in der heutigen Arbeitswelt hat sich dem Eidg. Datenschutzbe- auftragten in verschiedenen Formen gezeigt: einerseits gestalten bestimmte Ar- beitgeber Drogentests im Einklang mit den oben geschilderten Richtlinien (Siehe auch 6. Tätigkeitsbericht 1999/2000, S. 68), andererseits gibt es Hardliner, welche Drogentests ohne einen überwiegenden Sicherheitsgrund
24 durchführen. Gegen solche Arbeitgeber haben wir eine Empfehlung erlassen (siehe S. 122). Da unsere Empfehlung vom betroffenen Unternehmen abgelehnt wurde, haben wir die Angelegenheit der Eidgenössischen Datenschutzkommission zum Entscheid vorgelegt.
$! 9vr @Hhvy q Dr r:ir hput h 6 irvyh
Xv uhir rv Tpurh iyvvr qh r xy> r rypur V>qr qvr Dr r q @Hhvyt h 6 irvyh :ir hpu r qr qh s 9h Tpur trvpu v q hs qvr rpuvpur Q >rv tryrt Qr rirtrr 6r tr qr Q xyyvr tr q: sr hpu srtrryyr Hvi hpu trr r qr Xrvr r W hrt qr r rirtrr 6r t qr Q xyyvr tr v qvr t> tvtr Ds hv qr 6 irvrur 9h r rpurqr Tpurh v hs T " svqr
Technische Prävention statt Überwachung: Mit diesem Schlagwort soll der Ar- beitgeber auf die eigene Verantwortung zum Schutz seiner Ressourcen hinge- wiesen werden. Technische Schutzmassnahmen garantieren unter Anderem die Sicherheit von Daten und Anwendungen und schützen den Betrieb vor System- überlastungen. Konkrete Massnahmen sind zum Beispiel der Einsatz von Fire- walls und Antivirusprogrammen oder die Beschränkung der Speicherkapazität der Nutzer. Spionprogramme, die die Netzwerkaktivität bestimmter Personen überwachen, sind nicht erlaubt. Sowohl Arbeitgeber wie auch Arbeitnehmer haben dafür zu sorgen, dass zum Beispiel keine Viren eingeschleppt oder keine Speicherüberlastungen verursacht werden. Für den Arbeitgeber heisst dies vor allem, dass er für einen passenden technischen Schutz sorgen muss. Die Ange- stellten sind im Gegenzug dazu verpflichtet, mit der notwendigen Vorsicht vor- zugehen, wenn sie auf dem Internet surfen oder E-Mails von Unbekannten be- kommen.
In Protokollierungen werden die Aktivitäten der Internetnutzer fortlaufend auf- gezeichnet, in Form von Angaben wer, was, wann besucht hat. Durch diese Protokollierungen kann der Benutzer identifiziert werden.
Der Arbeitgeber hat die Arbeitnehmer über die eingesetzten technischen Schutzmassnahmen und Protokollierungen sowie über die Nutzungs- und Überwachungsregelung zu informieren. In der Nutzungsregelung hält der Ar- beitgeber fest, ob und wie die Benutzung des Internets und E-Mails erlaubt ist. Er kann die Nutzung vollständig frei geben, einschränken, zum Beispiel auf die Mittagspause, oder gänzlich verbieten. Ob diese Nutzungsregelung eingehalten wird, darf der Arbeitgeber – sofern er ein Überwachungsreglement verfasst hat
25 – kontrollieren. Wir empfehlen mit Nachdruck eine solche Nutzungsregelung zu erlassen, damit Klarheit darüber herrscht, was erlaubt ist und was nicht.
Das Überwachungsreglement hält seinerseits fest, mit welchen Kontrollen die Arbeitnehmer/-innen rechnen müssen. Es informiert auch darüber, wie die per- sönlichen Auswertungen den Vorgesetzen mitgeteilt werden und welche Sank- tionen diese ergreifen können. Personenbezogene Kontrollen sind nur erlaubt, wenn erstens ein schriftliches Überwachungsreglement vorliegt und zweitens bei einer anonymen Kontrolle ein Missbrauch festgestellt wurde. Eine präven- tive personenbezogene Kontrolle ist nicht erlaubt. Ein Missbrauch liegt einer- seits dann vor, wenn ein Arbeitnehmer die Bestimmungen der Nutzungsre- gelung missachtet, oder – wenn keine Nutzungsregelung vorhanden ist – gegen die Treuepflicht gegenüber dem Arbeitgeber oder gegen das Prinzip der Ver- hältnismässigkeit verstösst. Mit Treuepflicht ist die Verpflichtung der Arbeit- nehmerschaft gemeint, die Interessen des Arbeitgebers zu wahren. Als unver- hältnismässig und als Verstoss gegen die Treuepflicht gilt zum Beispiel über- durchschnittliches Surfen während der Arbeitszeit. In diesen Fällen ist eine per- sonenbezogene Auswertung der Protokollierungen erlaubt – natürlich wiederum nur, wenn ein Überwachungsreglement besteht.
Im Normalfall ist es nicht der Vorgesetzte selber, der die Überwachung durch- führt, sondern die Informatikdienste oder spezielle Sicherheitsbeauftragte. Diese geben die Auswertungen den Vorgesetzen ausschliesslich im Rahmen der Überwachungsregelung bekannt.
Wenn ein Missbrauch keine technische Störung zur Folge hat, erfolgt die perso- nenbezogene Auswertung der Protokollierungen aus Gründen der Verhältnis- mässigkeit erst bei wiederholter Feststellung eines Missbrauchs. Der Arbeit- geber muss deshalb die Arbeitnehmerschaft darüber informieren, dass er einen Missbrauch festgestellt hat und personenbezogen auswerten wird, falls sich dies wiederholt.
Die Inhalte privater E-Mails bleiben für den Arbeitgeber jedoch tabu. Der Inhalt der E-Mails ist Teil der Privatsphäre eines jeden Menschen. Auch wenn der pri- vate Gebrauch von E-Mail am Arbeitsplatz verboten ist, darf der Arbeitgeber die E-Mails der Angestellten nicht lesen. Wenn bei einer Stichprobe der Ver- dacht entsteht, dass ein Arbeitnehmer gegen ein Verbot des privaten E-Mail- Gebrauchs verstossen hat, dann muss dies aufgrund der Adressierung des E-Mails festgestellt werden. Wenn dies nicht möglich ist, muss der Arbeitnehmer direkt gefragt werden, ob ein E-Mail privat ist oder nicht.
Wenn der Arbeitgeber bei einer Überwachung einen konkreten Verdacht schöpft, dass eine Straftat begangen wurde, darf er nur beschränkt ermitteln. Die Strafverfolgung bleibt immer den Strafjustizbehörden vorbehalten, der Ar-
26 beitgeber darf einzig Beweise sichern, wenn dies zur Anzeige der verdächtigten Person führt. Falls der Verdacht auf eine Straftat besteht, darf der Arbeitgeber selber aus Gründen der Verhältnismässigkeit die Identität der Verdächtigen feststellen, unabhängig davon, ob eine technische Störung vorliegt oder nicht. Weitergehende präventive Überwachungen bleiben im Zuständigkeitsbereich der Strafjustizbehörde. Will er keine Anzeige erstatten, bleiben die Regeln der arbeitsrechtlichen Überwachung und der entsprechenden Sanktionen bestehen.
Wenn ein Arbeitnehmer meint, dass er vom Arbeitgeber auf eine unerlaubte Art kontrolliert worden ist, kann er zivilrechtlich gegen den Arbeitgeber wegen Per- sönlichkeitsverletzung klagen. Strafrechtlich kann der Arbeitnehmer gegen den Arbeitgeber bei den zuständigen Behörden wegen Verletzung der Privatsphäre oder wegen unbefugtem Beschaffen von Personendaten vorgehen. In der Regel erstattet er Anzeige bei der Polizei. Zu diesem Thema haben wir einen ausführlichen Leitfaden publiziert (www.edsb.ch ).
$" 7rh irvt Brqurvqhr q pu qr 6 irvtrir
@vr F hxrr vpur t uh rvr 89SPH F yyr qr 6irrurvr qr 6 irvrur ur htrtrir rypur trtr qvr B q>r qr 9hrpur r ; Vr r @sruyt qr s ryy hitryru v qr Uh wrqpu trr
Die Überprüfung des Sachverhaltes hat ergeben, dass durch die CD-ROM Per- sonendaten wie Name, Vorname, Nationalität, Abwesenheitsgrund, Arzttyp, Diagnose, Bemerkungen, usw. durch den Arbeitgeber systematisch erfasst werden können. Die Auswertung der Daten kann nach Kriterien wie Nationa- lität, Arzt oder Diagnose bzw. nach festgelegten Zielwerten (Zeitbudget für Krankheiten) erfolgen. Ausserdem ermöglicht die CD-ROM den Daten- austausch mit anderen Datenbanken. Die CD-ROM soll nach Angaben der Ver- sicherung dem Arbeitgeber als Kontrollinstrument über die Abwesenheiten seiner Angestellten dienen. Sie soll zudem den Gesundheitsschutz fördern als auch die Abwesenheiten am Arbeitsplatz reduzieren. Die Versicherung hat im Wesentlichen die Auffassung vertreten, dass der Arbeitgeber berechtigt ist, Krankheitsdiagnosen systematisch zu bearbeiten, um sich einen Überblick über die Absenzen zu verschaffen und um über die Weiterbeschäftigung eines kranken Mitarbeiters entscheiden zu können. Ein Datenaustausch mit Daten- banken der Versicherung finde jedoch in der Praxis nicht statt.
Wir haben uns auf den Standpunkt gesetzt, die CD-ROM stelle eine unverhält- nismässige und unzweckmässige Datenbearbeitung dar, da der Arbeitgeber die systematisch erfassten Gesundheitsdaten zur Durchführung des Arbeitsvertrages
27 nicht braucht. Nach dem Verhältnismässigkeitsprinzip ist es insbesondere un- zulässig, dass der Arbeitgeber bzw. sein Personaldienst Arztdiagnosen syste- matisch erfasst. Die systematische Erfassung von Diagnosen ist weder zur Schaffung von Massnahmen der Gesundheitsprävention oder zur Absenzbe- wirtschaftung noch zur Entscheidfindung über die Weiterbeschäftigung eines kranken Mitarbeiters notwendig. Nur einzelfallweise, sofern dies zur Abklärung einer speziellen Sachlage erforderlich ist, kann ein Arbeitgeber bzw. die Ab- teilung Sicherheits- und Gesundheitsprävention des Unternehmens oder der ent- sprechenden Branche Kenntnis über die Ursachen einer Krankheit einer be- stimmten Person erlangen. Ohne ausdrückliche Einwilligung des Arbeitnehmers darf der Arbeitgeber sonst nur einen Arztbefund bearbeiten («krank» oder «ge- eignet/ungeeignet» für eine Stelle). Zulässig ist hingegen die Erfassung der An- zahl Absenztage wegen Krankheit, ohne weitere Spezifikationen.
Die vorgesehene Datenbearbeitung ist auch deswegen zu beanstanden, weil die Gesundheitsdaten mit weiteren Personendaten, z. B. die Nationalität, kombiniert und verglichen werden können. Daraus können unserer Meinung nach diskrimi- nierende Rückschlüsse gezogen werden. Die systematische Erfassung anderer Abwesenheitsgründe durch den Arbeitgeber (z. B. Ferien, Militär, usw.), welche von der CD-ROM auch ermöglicht wird, wurde von uns nicht beanstandet.
Die CD-ROM ist auch als Gesundheitsmassnahme nicht geeignet. Die Arbeits- gesetzgebung verpflichtet den Arbeitgeber, Massnahmen zu treffen, um Ge- fahren für die Gesundheit der Arbeitnehmer vorzubeugen. Arbeitsräume, Sy- steme und Maschinen sind so zu unterhalten, dass deren Benutzung keine Fol- gen auf die Gesundheit der Arbeitnehmer haben können. Die Erfassung von In- formationen über «Schwachstellen» im Unternehmen (Luftzug, gefährliche Substanzen, Rauchen, schlechte Bildschirme, usw.) erfolgt anonym, aufgrund statistischer Angaben. Nur in Ausnahmefällen, sofern es zur Abklärung einer speziellen Sachlage erforderlich ist, darf der Arbeitgeber bzw. die Abteilung Sicherheits- und Gesundheitsprävention des Unternehmens oder der entspre- chenden Branche mit den betroffenen Personen Kontakt aufnehmen. Bei der in Frage stehenden CD-ROM handelt es sich hingegen um eine reine Absenzkon- trolle.
Das Festhalten eines jährlichen Budgets an Krankheitstagen ist auch unstatthaft, weil dadurch gesundheitlich schwächere Menschen, die öfters abwesend sind, diskriminiert werden können. Die Behauptung der Versicherung, die fragliche Datenbearbeitung sei gegenüber gesundheitlich schwächeren Angestellten nicht diskriminierend, weil für solche Angestellten individuelle «Krankheitsbudgets» geschaffen werden können, widerspricht der Zielsetzung der Absenzen- reduktion.
28 Die Behauptung der Versicherung, ein Datenaustausch zwischen ihr und den Arbeitgebern finde nicht statt, mag zwar in der Tat zutreffen, sie ändert aber an der Tatsache nichts, dass bereits die technische Möglichkeit eines solchen Da- tenaustausches gesetzeswidrig ist. Weder die Einwilligung der betroffenen Per- sonen noch eine gesetzliche Grundlage, noch ein überwiegendes privates oder öffentliches Interesse sind für den Datenaustausch zwischen der Absenz-Daten- bank und anderen Datenbanken gegeben. Ohne Rechtfertigungsgrund würde eine solche Datenbekanntgabe im Übrigen eine Verletzung des Berufsge- heimnisses seitens des Arbeitgebers darstellen.
Aufgrund dieser Erwägungen haben wir der Versicherung empfohlen, die Pro- duktion und der Vertrieb der fraglichen CD-ROM unverzüglich einzustellen und die bereits verteilten CD-ROM zurückzuziehen oder die fraglichen Daten- kategorien von der CD-ROM zu entfernen. Die Versicherung hat sich mit unseren Erwägungen nicht einverstanden erklärt, jedoch die CD-ROM daten- schutzkonform gestaltet.
% Wr vpur trr
Tvhyr vpur tr
% Ihpurv rvr Brqurvpuhqr v Tpuvvvr
9h 7qrh s: Tvhyr vpur t 7TW :s i Tpuuvysr thvhvr DW 7rv >tr r uhyr qr vpu 9hs: r yht r hpu Brqurvqhr :ir qvr 7ru r qr Tpuvvvr qr Vsht qvrr 9hr v wrqpu s htyvpu ty hpu & U>vtxrvir vpu (((! T
Das BSV schliesst mit den Suchthilfeinstitutionen (Leistungsvertragsnehmern) sogenannte Leistungsverträge ab. Damit diese in den Genuss von IV-Beiträgen kommen, müssen bestimmte Voraussetzungen erfüllt sein. Insbesondere müssen 50% der Klienten der Suchtinstitutionen Behinderte im Sinne der IV-Gesetz- gebung sein. Das BSV verlangt dafür u.a. Gesundheitsdaten der Klienten. Ge- sundheitsdaten gehören zu den besonders schützenswerten Personendaten. Wir haben das BSV mehrmals darauf hingewiesen, dass das Beschaffen von be- sonders schützenswerten Personendaten entsprechende gesetzliche Grundlagen benötigt.
Es gilt zu bedenken, dass es sich bei den Leistungsvertragsnehmern in erster Linie um ambulante Institutionen handelt, die grösstenteils Drogenabhängige oder ehemals Drogenabhängige begleiten und betreuen. Es werden demnach
29 sehr sensitive Daten bearbeitet. Aufgrund der Sensibilität der Daten sind auch an die Bearbeitungsgrundsätze strengere Anforderungen zu stellen. Insbeson- dere gilt dies für das Verhältnismässigkeitsprinzip.
Eine Möglichkeit besteht darin, die Personendaten der Betroffenen soweit als möglich zu anonymisieren. Um dies zu ermöglichen, bietet sich die Verwend- ung von Codes an, mit Hilfe derer die Daten pseudonymisiert werden. Die Pseudonymisierung darf jedoch nicht erst durch den Empfänger erfolgen, sondern ist durch den Leistungsvertragsnehmer z. B. durch Vergabe einer Kun- dennummer vorzunehmen. Die Angaben, welche in codierter Form übergeben werden, sind auf ein Minimum zu beschränken. Das BSV würde somit Angaben bekommen, die lediglich mit dem vom Leistungsvertragsnehmer verwendeten Code versehen sind. Die Daten wären somit beim Leistungsvertragsnehmer pseudonymisiert. Allenfalls im konkreten Einzelfall und aufgrund einer kon- kreten Nachfrage wäre der Kunde wieder identifizierbar.
%! Qrvxhrtryqr ) Tpur hpu 6 puir rpuvtr
9vr ar hyryyr ! T>yr uh qr arpx qvr Cr trrr Qrvxhrtryqr D qr h puir rpuvtr 6 irvrur xr yhr 9vr Tpur hpu qr rv v 6yhq yrirqr Wr vpur r r vr vpu wrqpu hy puvr vt @ qr qhur rr Xrtr trpu q qvr trryvpur B qyhtr qr qrr rpurq h trh
Nicht alle Arbeitnehmer haben ihre Pensionskassengelder in Anspruch genom- men. Es handelt sich dabei vor allem um Arbeitnehmer aus anderen euro- päischen Staaten, die für diesen Zweck ausfindig zu machen sind. Die im Frei- zügigkeitsgesetz vorgesehene Regelung war jedoch ungenügend. Insbesondere war es nicht möglich, alle Adressen über die Zentrale Ausgleichskasse (ZAS) herauszufinden. Es wurde daher der Vorschlag gemacht, die fehlenden Adres- sen bei den ausländischen Sozialversicherungsbehörden zu eruieren. Der EDSB empfahl, die gesetzlichen Grundlagen dementsprechend anzupassen (vgl. auch 7. Tätigkeitsbericht 1999/2000, S. 37).
Für die spanischen Arbeitnehmer wurde für diesen Zweck ein Staatsvertrag (Notenwechsel) zwischen der Schweiz und Spanien ausgearbeitet. Darin wird festgehalten, dass die Zentralstelle 2. Säule einmal jährlich einen Datenträger (Name, Vorname und Geburtsdatum der nicht lokalisierten Berechtigten spa- nischer Nationalität) an die spanischen Sozialversicherungsbehörden über- mittelt. Diese versuchen, die in Spanien wohnhaften Arbeitnehmer ausfindig zu machen und teilen dies der Zentralstelle 2. Säule mit.
30
Aus unserer Sicht wichtig war, dass die Daten nur für diesen Zweck bearbeitet werden (Zweckbindungsgebot). Im Weiteren haben wir Wert darauf gelegt, dass der Notenwechsel auch Bestimmungen über die Datensicherheit enthält. Insbe- sondere wird darin ausdrücklich erwähnt, dass die Datenträger verschlüsselt übermittelt werden müssen.
Wir begrüssten diese Regelung und hoffen, dass analoge Lösungen auch mit anderen Ländern gefunden werden.
%" @r rxvv s: qr Qr ;yvpuxrvpu v qr vhyr q vhr F hxr q Vshyyr vpur t
9r Tpuyir vpu qr @r rxvv s: qr Qr ;yvpuxrvpu v qr vhyr q vhr F hxr q Vshyyr vpur t qr v Pxir ! qr @vqtr;vpur 9rh rr qr Dr @9D tryrt 9r 7r vpu qr v H> ! r ;ssryvpu
Die Kommission hat ihre Arbeit im März 1998 aufgenommen und insgesamt 17 Sitzungen abgehalten. Die Aufgabe der Arbeitsgruppe bestand insbesondere darin, die Thematik des Persönlichkeitsschutzes in der sozialen und privaten Kranken- und Unfallversicherung zu untersuchen. Konkret ging es darum, Ver- besserungsvorschläge und auch vollständig formulierte Gesetzesbestimmungen auszuarbeiten. Aus datenschutzrechtlicher Sicht standen das Verhältnis- mässigkeits- und das Transparenzprinzip im Vordergrund.
In den obligatorischen Pflegeversicherungen war v.a. abzuklären, welche Da- tenbedürfnisse sowohl die Krankenversicherer als auch die Unfallversicherer haben. Aus Sicht des EDSB wichtig zu erwähnen ist, dass Gesundheitsdaten nicht auf Vorrat beschafft und gespeichert werden dürfen (Prinzip der Verhält- nismässigkeit). Es ist vorher genau abzuklären, welche Daten die Versicherer für welche Zwecke brauchen.
Im Zusatzversicherungsbereich waren insbesondere die Antragsformulare mit den Gesundheitsfragen und den Einwilligungsklauseln ein Thema. Auf jeden Fall dürfen die Fragen des Versicherers die Persönlichkeit des Antragsstellers nicht verletzen und müssen dem Grundsatz der Verhältnismässigkeit ent- sprechen. Einwilligungsklauseln, welche u.a. den Arzt von der Schweigepflicht entbinden sollen, müssen für die einwilligende Person klar und erkennbar sein (vgl. auch 7. Tätigkeitsbericht 1999/2000, S. 66-67).
31 Bei der Aufnahme in die Krankentaggeldversicherung sind Gesundheitsfragen grundsätzlich erlaubt. Dies kann zu Diskriminierungen von Arbeitnehmern mit «erhöhten Risiken» führen. Denn Arbeitgeber wie auch Krankentaggeldversi- cherer haben ein finanzielles Interesse daran, Personen mit ungeeigneten Ge- sundheitsdispositionen nicht einzustellen bzw. nicht weiterzubeschäftigen. Wir fordern daher, im Bereich der Krankentaggeldversicherungen auf Gesundheits- fragen generell zu verzichten.
Das System der Vertrauensärzte ist bis anhin nur im KVG geregelt. Diskutiert wurden mehrere Modelle, welche die Unabhängigkeit der Vertrauensärzte ge- genüber der Versicherungsverwaltung zum Inhalt haben. Im Weiteren wurde der Datenfluss zwischen dem Vertauensarzt und der Versicherungsverwaltung untersucht. Für uns ist wichtig, dass das System der Vertrauensärzte so weit als möglich auf andere Versicherungsformen ausgedehnt wird. Insbesondere ist eine analoge Einrichtung für den Unfallversicherungsbereich ernsthaft zu prüfen.
Der Bericht der Expertenkommission wurde im Oktober 2000 dem EDI unter- breitet und im März 2001 veröffentlicht. Viele unserer Forderungen wurden er- füllt. Insbesondere die Verwendung von getrennten Antragsformularen für die Grund- und Zusatzversicherungen.
Q vhr vpur tr
%# 9vr Irqvtxrv rvr Wr hrh r v Q vhr vpur t ir rvpu
9h Dv qr Wr hrh r v s: qr F hxrr vpur tir rvpu tr rtry q h qhrpu rpuyvpur Tvpu irt :r 9vr r vpur r Qr uh qvr H;tyvpu xrv rqvvvpur 6thir qr Wr hrh vrvyr @ ryy vpu qhur qvr A htr rv hhytr Dv hpu s: qr Q vhr vpur tir rvpu puhssr
Das Krankenversicherungsgesetz (KVG) kennt das System der Vertrauensärzte. Der Vertrauensarzt hat hinsichtlich des Datenflusses eine gewisse «Filterfunk- tion» zwischen den Versicherten und der Krankenkassenverwaltung. Er berät die Versicherer in medizinischen Fachfragen sowie in Fragen der Vergütung und der Tarifanwendung. Vertrauensärzte überprüfen insbesondere die Voraus- setzungen der Leistungspflicht des Versicherers. Im Weiteren sind sie in ihrem Urteil unabhängig.
32 Es stellt sich generell die Frage, das Institut des Vertrauensarztes auf andere Versicherungsformen auszudehnen und die nötigen gesetzlichen Grundlagen zu schaffen.
Im Privatversicherungsbereich existieren seit rund 15 Jahren Empfehlungen für die Behandlung medizinischer Akten. Eine dieser Empfehlungen wurde zwi- schen der FMH und der Privatassekuranz ausgearbeitet. Sie sieht u.a. vor, dass medizinische Daten, welche besonders schützenswerte Personendaten enthalten, dem medizinischen Dienst oder beratenden Arzt des Versicherers zugestellt werden können. Im Weiteren kann verlangt werden, dass diese Daten beim Versicherer gesondert aufbewahrt werden. Auch müssen die Versicherer sicherstellen, dass diese Unterlagen nur einem begrenzten Personenkreis zu- gänglich sind. Zudem müssen die Versicherer auf den Antragsformularen darauf hinweisen, dass besonders schützenswerte Personendaten dem medizinischen Dienst bzw. dem beratenden Arzt (mit dem Vermerk «persönlich») an die Adresse des Versicherers mitgeteilt werden können.
Medizinische Dienste oder Vertrauensärzte sind in der Privatassekuranz dem- nach nichts Neues und haben sich bewährt. Zu begrüssen wäre allerdings, dass sie gegenüber den Versicherern auch unabhängig wären.
Wir fordern daher, medizinische Dienste bzw. Vertrauensärzte auch für den Pri- vatversicherungsbereich auf Gesetzesstufe zu regeln (Aufgabe, Zweck, Organi- sation etc.). Vertrauensärzte im Privatversicherungsbereich sind umso wich- tiger, da hier Diskriminierungen aufgrund einer ungeeigneten Gesundheitsdis- position nicht auszuschliessen sind. Falls genetische Untersuchungen im Versi- cherungsbereich - welche der EDSB grundsätzlich ablehnt - eines Tages dennoch möglich sein sollten, wird man um das Institut des Vertrauensarztes im Privatversicherungsbereich nicht herumkommen.
%$ 7y ir tru; r vpu v qvr C>qr Wr vpur r
Q vhr vpur r x;r t q>yvpu Brqurvqhr qr 6 htryyr Svvxir rvyt irpuhssr Tvr vq hir h qh Wr u>yv>vtxrv vv tri qr 6s xrvr Ahyy qh s rv Wr vpur r 7y ir r yhtr
Eine Person wollte von uns wissen, ob eine Versicherungsgesellschaft im Auf- nahmeverfahren in eine Pensionskasse berechtigt sei, auch Blutproben einzu- fordern.
Eine Versicherungsgesellschaft darf im Aufnahmeverfahren Gesundheitsanga- ben verlangen, soweit sie tatsächlich erforderlich sind. Im Bereich der berufli-
33 chen Vorsorge dürfen Gesundheitsangaben nur für den überobligatorischen Teil verlangt werden. Wohl steht es der Versicherungsgesellschaft zu, die not- wendigen Gesundheitsinformationen einzuholen (Verhältnismässigkeits- prinzip). Auf keinen Fall darf sie jedoch körperliche Substanzen wie z. B. Blut- proben einfordern. Schriftliche Angaben des Antragstellers bzw. des behan- delnden Arztes genügen vollends. Der Antragsteller ist zur Wahrheit ver- pflichtet, ansonsten er eine Anzeigepflichtverletzung begeht. Der Arzt ist zudem an seine ärztliche Sorgfaltspflicht gebunden. Es wäre demnach unverhältnis- mässig, wenn ein Versicherer nebst den Gesundheitsangaben auch noch Blut- proben, Urin etc. vom Antragsteller verlangen würde.
Im Weiteren besteht die Gefahr, dass der Versicherer die Blutproben für andere Zwecke verwendet. Aus Blutproben können etwa genetische Informationen ge- holt werden. Auch ist unklar, ob die Daten an den ärztlichen Dienst der Versi- cherung gelangen oder gar an die Versicherungsverwaltung. Eine weitere Frage ist, wer auf diese sensiblen Daten Zugriff haben soll bzw. wo und wie lange die Blutproben aufbewahrt werden. Wir sind zur Zeit daran, die nötigen Abklä- rungen zu treffen.
%% 9hrrvr thir h S:pxr vpur r
S:pxr vpur r r yhtr qr Wr vpur r Wr vpur rqhr qr Grvt h pu hixy> r x;r 9hirv vq qvr 9hr qr Wr vpur r rv hy ;tyvpu hvvr r
Eine Rückversicherungsgesellschaft hat uns Reglementsauszüge für die Gross- risikoversicherung zur Stellungnahme unterbreitet. Im Reglement wird festge- halten, dass dem Rückversicherer unter bestimmten Voraussetzungen Kopien und Zeugnisse von versicherten Personen zugestellt werden müssen. Im Weiteren habe der Rückversicherer das Recht, von den Versicherern weitere Unterlagen zu verlangen oder bei diesen einzusehen.
Aus datenschutzrechtlicher Sicht gilt es, die Versichertendaten soweit als möglich zu anonymisieren. Es stellt sich daher die Frage, ob der Rückver- sicherer die oben erwähnten Angaben in jedem Fall braucht. Denkbar wäre, die Daten mittels Kennziffern (Codes) zu anonymisieren. Die Codes wären im Be- sitze der Versicherer. Im konkreten Einzelfall könnte der Rückversicherer allen- falls auf die Versichertendaten zugreifen, um Leistungsansprüche näher abklä- ren zu können. Die Versichertendaten wären somit grundsätzlich anonym, könnten aber im Einzelfall wieder bestimmbar gemacht werden (Pseudonymi- sierung).
34 Im Weiteren sei noch erwähnt, dass die Bearbeitung von Personendaten eines Rechtfertigungsgrundes bedarf. Bearbeitet ein Rückversicherer Versicherten- daten eines Privatversicherers, ist in der Regel eine konkrete Einwilligung der versicherten Personen notwendig. Ist ein Rückversicherer in der sozialen Kran- kenversicherung tätig, sind die spezifischen Datenbekanntgaberegelungen im KVG zu berücksichtigen.
%& Rhyv>x yyr v ahr vpur tir rvpu
D ahr vpur tir rvpu tvi r 7r ritr qr F hxrr vpur r qvr Rh yv> qr Grvtr i vtr r > x x yyvr r A: qvrr arpx r qr Qr rqhr irh irvr 9vr qhrpu rpuyvpur B q>r vq qhirv rvuhyr
Der EDSB wird vermehrt mit Anfragen konfrontiert, welche die Qualitätskon- trolle von Leistungserbringern im Zusatzversicherungsbereich betreffen. Insbe- sondere die Krankenkassen schliessen sich zu Vereinen zusammen, um die Qualität der einzelnen Leistungserbringer im Zusatzversicherungsbereich zu kontrollieren. Für diesen Zweck werden von den Leistungserbringern Perso- nendaten erhoben. Auf Seiten der Leistungserbringer wie z. B. Fitnessstudios werden umfangreiche Daten über Ausbildung, methodische Massnahmen etc. verlangt. Entscheidend ist hier, dass wirklich nur diejenigen Daten bearbeitet werden, die tatsächlich benötigt werden (Prinzip der Verhältnismässigkeit). Aus unserer Sicht unverhältnismässig wären etwa unangemeldete Besuche von Krankenkassenvertretern bei einzelnen Leistungserbringern. Auch ist es nicht notwendig, im Rahmen der Qualitätskontrolle Personendaten von versicherten Personen zu bearbeiten.
Im Weiteren muss die Datenbearbeitung für die Leistungserbringer transparent sein. Sie müssen umfassend informiert werden, was mit ihren Daten geschieht. Wir haben daher vorgeschlagen, den Leistungserbringern ein Merkblatt zum Datenschutz auszuhändigen. Zudem dürfen die Daten nur für den vorliegenden Zweck bearbeitet werden (Zweckbindungsprinzip). Dies gilt insbesondere für Daten, die Geschäftsgeheimnisse der Leistungserbringer zum Inhalt haben. Die Krankenkassen dürfen Personendaten nur bearbeiten, wenn ein Rechtfertigungs- grund vorliegt. Werden Daten von Leistungserbringern im Zusatzversicherungs- bereich bearbeitet, ist deren Einwilligung erforderlich. Fraglich bleibt jedoch, ob die Einwilligung des Leistungserbringers frei erfolgen kann. Denn wenn der Leistungserbringer weiterhin von den einzelnen Zusatzversicherungen an- erkannt bleiben will, hat er faktisch oft keine andere Wahl, als sich einer solchen Qualitätskontrolle zu unterziehen.
35
& Brqurvrr
& 8hyy8rr v rqvvvpur 7r rvpu
@ r qr v rqvvvpur 7r rvpu vr ru 8hyy8rr rvtr vpur qvr 7: tr qvr H;tyvpuxrv ivrr vpu v F hxurvshyy ryrsvpu :ir qvr r s qr yvpur r r Tpu vr qr qh rvr r W trur vs vr r D ahruht v qvrr Uryr str >pur r qr ru rviyr 9hr qr 6 sr irh irvr @ ryyr vpu qvr t q>yvpur A htr qr U hh r qr 9hrirh irvt qr @vvyyvtt qr 7r ssrr vr qr 9hrvpur urv
Im letzten Jahr haben sich im medizinischen Bereich viele sogenannte Call- Center auf dem Markt etabliert. Je nach Zielsetzung bieten Call-Center im Krankheitsfalle zum Einen dem spontanen Anrufer die Möglichkeit, sich tele- fonisch über die ersten erforderlichen Schritte sowie über weiteres Vorgehen zu erkundigen. Zum Anderen werden festen Kunden des Anbieters des Call- Centers z. B. die folgenden Dienstleistungen angeboten: Organisation der ärzt- lichen Betreuung, Information des medizinischen Personals im Ausland oder Erstellen von längerfristigen Gesundheitsplänen.
Der Grossteil der Kontakte zwischen dem Patienten und dem Call-Center bzw. dessen Anbieter läuft über das Telefon. Um den Patienten beraten zu können, muss dieser den Mitarbeitern des Call-Centers umfangreiche Angaben zu seiner Gesundheit machen, die vom Call-Center bearbeitet werden. Zwar ist dem An- rufer in der Regel bewusst, welche Informationen er dem Call-Center mündlich gibt. Es stellt sich jedoch die Frage, ob dem Anrufer auch bewusst ist, wie und in welchem Umfang das Call-Center die mündlich gemachten Angaben bear- beitet. In der Regel werden die Telefongespräche aufgezeichnet. Zudem setzen Call-Center während des Telefongespräches verschieden detaillierte und kom- plexe Software-Programme ein, in die die mündlich gemachten Angaben einge- geben werden. Die Programme dienen dazu, den Mitarbeitern des Call-Centers die Beratung zu erleichtern und die Entscheidfindung abzunehmen. Die einge- gebenen Daten werden in den Programmen unter anderem zu Zwecken der weiteren Kundenbetreuung oder zu Beweissicherungszwecken eine Zeit lang gespeichert. Es stellt sich die Frage, ob den Anrufern die Aufzeichnung der Te- lefongespräche sowie die Bearbeitung der mündlich gemachten Angaben mittels Software-Programmen in Form von Auswertung und Speicherung bekannt ist. Nur im Falle der vollumfänglichen Kenntnis kann der Anrufer in die vorge- nommenen Datenbearbeitungen rechtsgültig einwilligen. Ist die Einwilligung rechtsgültig, sind die Datenbearbeitungen durch die Call-Center zulässig. Diese kann sicher schriftlich gewährleistet werden, wenn es sich beim Anrufer um
36 einen festen Kunden des Anbieters des Call-Centers handelt. Fraglich ist jedoch die vollumfängliche vorgängige Information für Spontananrufer. Allein der Hinweis darauf, dass das Telefongespräch aufgezeichnet wird, reicht kaum aus, um dem Anrufer transparent zu machen, wie lange die Aufzeichnungen auf- bewahrt werden und welche weitergehenden Datenbearbeitungen im Hinter- grund zusätzlich vorgenommen werden.
Zudem stellen sich verschiedene Fragen der Datensicherheit im Zusammenhang mit der Abhörbarkeit des Anschlusses des Call-Centers, Zugriffsberechtigungen und Zugriffsmöglichkeiten von Unbefugten auf die Daten.
&! Rhyv>rt q Rhyv>vpur t wrxr v rqvv vpur 7r rvpu
6 Frt :qr r qr v Brqurvir rvpu uy v Tv>yr hy hpu v Crvr r ru Rhyv>rt q Rhyv>vpur t wrxr rvtrr D qvrr ahruht ryyr vpu A htr qr Irqvtxrv irqr pu:r r r Qr rqhr irh irvr qr arpxivqt qr U hh r q qr @v vyyvtt v qvr 9hrirh irvt q pu qvr ir ssrr Qr r vr qr 9hrv pur urv
Nach dem Bundesgesetz über die Krankenversicherung ist der Leistungs- erbringer zur Wirtschaftlichkeit seiner Leistungen sowie zur Qualitätssicherung verpflichtet. Zu diesen Zwecken setzen Leistungserbringer mit komplexeren Abläufen wie Spitäler oder Heime sogenannte Qualitätsmessungs- und Quali- tätssicherungsprojekte ein. Je nach Zielsetzung dienen diese Projekte der Op- timierung des Kosten/Nutzen-Verhaltens im Hinblick auf die Betreuung zu- künftiger, gegenwärtiger oder sowohl gegenwärtiger als auch künftiger Klienten. Zur Erreichung der Qualitätsmessung und -sicherung werden Gesund- heitsdaten der Klienten, Angaben über ihre täglichen Lebensgewohnheiten, Lebenseinstellungen und -philosophien sowie Wünsche detailliert ausgewertet.
Ein Problempunkt in diesem Zusammenhang ist die Rechtmässigkeit der Bear- beitung von Personendaten. Da das Bundesgesetz über die Krankenver- sicherung nicht ausdrücklich vorsieht, dass zu Zwecken der Qualitätssicherung Personendaten, im Speziellen besonders schützenswerte Personendaten und Persönlichkeitsprofile bearbeitet werden dürfen, stellt sich die Frage, ob die Datenbearbeitung durch eine rechtsgültige Einwilligung der betroffenen Person erlaubt ist. Aus Beweissicherungsgründen ist es sinnvoll und notwendig, wenn die Einwilligung schriftlich erfolgt. Eine rechtsgültige Einwilligung hat gut lesbar, allgemein verständlich und so formuliert zu sein, dass sie den Betrof-
37 fenen über die Folgen der Einwilligung informiert sowie ihm die Möglichkeit gibt, diese jederzeit zu widerrufen. Dieses jederzeitige Widerrufsrecht impliziert die Freiwilligkeit der Einwilligung. Eine solche ist nicht rechtsgültig, wenn sie aufgrund von irgendwelchen Drucksituationen zustande gekommen ist. Darunter fallen unter anderem der Gruppendruck («alle willigen ein...»), der materielle Druck («Wenn ich nicht einwillige, werden meine Kosten nicht über- nommen...») oder der Druck, mit Qualitätsverlust rechnen zu müssen («Wenn Sie nicht einwilligen, können Sie auch nicht an Qualitätsverbesserungen teil- haben...»).
Weiter stellt sich in diesem Zusammenhang unter dem Gesichtspunkt der Ver- hältnismässigkeit die Frage der Notwendigkeit, Personendaten zu bearbeiten. Unter Personendaten werden alle Angaben über eine bestimmte oder bestimm- bare Person verstanden. Die Fragestellung bedeutet damit konkret, ob es für die Auswertung zu Qualitätsmessungs- und Qualitätssicherungszwecken Angaben braucht, die den einzelnen Klienten identifizieren, oder ob mit anonymisierten, allenfalls pseudonymisierten Daten gearbeitet werden kann. Wenn die Quali- tätsmessung und die daraus resultierende Qualitätsverbesserung dem einzelnen gegenwärtigen Klienten unmittelbar wieder zugute kommen soll, ist sicher er- forderlich, die auszuwertenden Daten und die Resultate wieder derjenigen Person zuordnen zu können, deren Daten ausgewertet wurden. Anders sieht es dagegen aus, wenn die Auswertung der Daten erst in eine künftige Qualitätssi- cherung und -verbesserung einfliessen soll. In diesem Fall käme die Qualitäts- verbesserung nicht mehr derjenigen Person zu gute, deren Daten ausgewertet werden. Unseres Erachtens ist es in diesen Fällen nicht verhältnismässig, die Auswertung anhand von Personendaten vorzunehmen. Vielmehr reicht grund- sätzlich die Auswertung anonymisierter Daten aus. Vertritt man jedoch die Auf- fassung, dass über längere Zeiträume nachvollziehbar sein muss, welche Lei- stungen ein und derselben Person erbracht wurden, so ist es unserer Meinung nach notwendig, die Daten zu pseudonymisieren. Das bedeutet, dass die die betreffende Person identifizierenden Elemente einem Code zugewiesen werden, die ein und derselben Person erbrachten Leistungen unter dem selben Code ab- gelegt werden und die Relationsdatenbank, die die Verbindung Code/identifizierende Elemente enthält, getrennt von den Leistungsdaten ge- führt wird.
Häufig sollen die Auswertungen der Daten zu Zwecken der Qualitätsmessung und –sicherung nicht von der leistungserbringenden Institution vorgenommen, sondern an externe Firmen delegiert werden. Wir sind der Auffassung, dass in diesen Fällen generell so vorgegangen werden sollte, dass an das Drittunter- nehmen nur anonymisierte Daten oder allenfalls pseudonymisierte Daten be- kannt gegeben werden, wobei im letzten Fall das Drittunternehmen keinen Zu- griff auf die Relationsdatenbank haben darf. Dies ergibt sich aus dem hohen Schutzbedarf der Gesundheitsdaten, die unter anderem über die strafrechtlich
38 geregelten beruflichen Schweigepflichten, wie z.B. das Arztgeheimnis, einen zusätzlichen Schutz erfahren. Zu denken ist, dass das EDV-System sofort bei Eingabe der Personendaten einen Code generiert. Das System würde jedes Mal, wenn dieselben identifizierenden Angaben eingegeben würden, denselben Code hervorholen. Auf diese Weise wäre sichergestellt, dass Daten, die zu ein und derselben Person gehören, ein und demselben Code zugewiesen würden. Die Daten würden «anonymisiert» an das Drittunternehmen übermittelt. Die Aus- wertung erfolgte somit aufgrund dieser pseudonymisierten Daten.
Ein weiterer Aspekt im Zusammenhang mit den Qualitätsmessungs- und Quali- tätssicherungsprojekten ist die Frage der Zweckbindung der bearbeiteten Daten. Nach dem Zweckbindungsgrundsatz dürfen Personendaten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Um- ständen ersichtlich oder gesetzlich vorgesehen ist. Erfolgt vor der Beschaffung von Daten keine hinreichende Information der Klienten über den Verwen- dungszweck, scheint die Zweckbindung zweifelhaft. Aber auch in diesem Kontext ist zu differenzieren, ob die Qualitätsmessung und -sicherung dem Kli- enten unmittelbar wieder zugute kommen soll, dessen Daten ausgewertet werden. Der grundsätzliche Zweck der Bearbeitung von Klientendaten liegt in der Betreuung und/oder medizinischen Behandlung des Klienten. In diesem Fall kann davon ausgegangen werden, dass die Qualitätsmessung und -sicherung einen unmittelbaren Einfluss auf die Betreuung und die Behandlung der betref- fenden Person hat. Somit kann bei dieser Konstellation davon ausgegangen werden, dass der Zweckbindungsgrundsatz eingehalten ist. Etwas Anderes gilt unserer Auffassung nach jedoch, wenn die Qualitätsmessung und -sicherung sowie die Auswertung der Daten künftigen Klienten in ähnlichen Situationen zugute kommen sollen. In diesen Fällen wäre die Bearbeitung von Personen- daten nicht mehr vom Betreuungs- und Behandlungszweck gedeckt.
Ein weiterer Gesichtspunkt der Verhältnismässigkeit aber auch der Datensi- cherheit ist die Regelung der Zugriffsberechtigungen auf die entweder auszu- wertenden Personendaten oder aber im Falle der Pseudonymisierung auf die Relationsdatenbank. Gerade im Hinblick auf die hohe Sensibilität der Daten sowie die Strafbarkeit der Verletzung des Arztgeheimnisses ist es unserer Ansicht nach erforderlich, zum Beispiel mittels Codierungssystemen und an- wenderfreundlicher Software die Abläufe so zu gestalten, dass nur die behan- delnden Ärzte oder die zuständigen medizinischen Hilfspersonen die Daten über klar strukturierte, für die Auswertung konzipierte Masken in das EDV- System eingeben. Die pseudonymisierten Daten würden den für die Auswertung zuständigen Personen zur Verfügung gestellt. Auf diese Weise wäre gewähr- leistet, dass nicht zuständige Personen nicht mit besonders schützenswerten Personendaten arbeiten müssten. Das Arztgeheimnis und die berufliche Schweigepflicht blieben gewahrt. Auf die Relationsdatei, die Auskunft darüber
39 gibt, welche Person hinter welchem Code steht, hätten Drittpersonen keinen Zugriff.
Im Zusammenhang mit der technischen Umsetzung von Zugriffsberechtigungen zum Beispiel auf die Relationsdatenbank gehen wir in die Richtung, die Ver- schlüsselung der Datenbank und nicht nur die individuellen Zugriffe der Daten zu vertreten.
&" @yrx vpur Srr
6s qr Hh x v qvr Dqrr qr Wr rqt ryrx vpur Srrr h @rur Cvr ryyr vpu A htr qr @vvyyvtt qr Qhvrr q qr 9hrvpur urv
Im Computerzeitalter sind der Phantasie hinsichtlich des Einsatzes von EDV zum Zweck der Bearbeitung von Personendaten keine Grenzen gesetzt. So sind Ideen auf dem Markt, das bis anhin gebräuchliche Papierrezept durch ein elek- tronisches Rezept zu ersetzen. Gedacht ist folgender Ablauf: Der Patient geht zum Arzt. Nach der Untersuchung verschreibt der Arzt ein Medikament. Statt seinen herkömmlichen Rezeptblock an die Hand zu nehmen, greift der Arzt zu einem kleinen Computer in der Grösse des Rezeptblocks. Er gibt in die im Computer gespeicherte Maske sämtliche Angaben ein, die auch bis anhin für das Ausstellen eines Rezeptes erforderlich waren. Er kann das Rezept aus- drucken und in Papierform dem Patienten übergeben. Sinn und Zweck der Idee des elektronischen Rezeptes ist jedoch die elektronische Übermittlung des Re- zeptes an die Wunschapotheke des Patienten nach mündlicher Absprache mit diesem. Nach Absenden des Rezeptes trifft dieses auf dem Server eines Vertei- lers (Drittfirma) ein. Dieser leitet das Rezept entsprechend den Adressaten an den Server der zuständigen Apotheke weiter. Von dem Server der Apotheke wird eine Rückmeldung an den Server des Verteilers geschickt, der wiederum dem verschreibenden Arzt die Übermittlung des Rezeptes bestätigt.
Für Überlegungen im Zusammenhang mit derartigen Vorhaben stehen für uns die Aspekte der Freiwilligkeit der Einwilligung des Patienten in die Über- mittlung eines elektronischen Rezeptes sowie der Datensicherheit im Vor- dergrund.
Damit der Patient eine rechtsgültige Einwilligung abgeben kann, muss er vollumfänglich und in für ihn verständlicher Weise über die technischen und praktischen Folgen eines elektronischen Rezeptes informiert werden und er muss die tatsächliche Freiheit haben, sich für oder gegen das elektronische Re- zept zu entscheiden. Dem Patienten muss transparent gemacht werden, wer auf welche seiner Daten Zugriff hat. Das bedeutet insbesondere, dass der Patient
40 davon Kenntnis haben muss, dass auch der Verteiler (Drittfirma) sogenannte Übermittlungsbestätigungen bearbeitet. Hinsichtlich dieser Bestätigungen ist die inhaltliche, für den Verteiler lesbare Ausgestaltung relevant. Je nach dem werden unmittelbar den Patienten identifizierende Elemente aufgenommen, die vom Verteiler gelesen werden können. Damit hätte der Verteiler Kenntnis davon, dass ein bestimmter Patient bei einem bestimmten Arzt in Behandlung war. Oder aber es wird lediglich eine vom Arzt vergebene Patientennummer aufgeführt, mittels derer der Verteiler den Patienten nicht identifizieren kann. Nur im letzten Fall ist unserer Auffassung nach dem Verhältnismässigkeits- grundsatz Genüge getan und der Zugriff Unberechtigter auf sehr sensible Per- sonendaten ausgeschlossen.
Ein anderer wesentlicher Aspekt der Datensicherheit ist die geschützte Über- mittlung des elektronischen Rezeptes. Da aus dem Rezept Rückschlüsse auf die Krankheit einer bestimmten Person gezogen werden können, es sich mithin um besonders schützenswerte Personendaten im Sinne des Datenschutzes handelt, sind an die Sicherheit der Übermittlung sehr hohe Anforderungen zu stellen, um Zugriffe Unberechtigter zu verhindern (hierzu S. 74).
Wir sind der Auffassung, dass die Unternehmen, die derartige Projekte auf- ziehen und ihren Kunden – im vorliegenden Fall Ärzten und Apotheken – zur Verfügung stellen wollen, auch Verantwortung zur Umsetzung des Daten- schutzes übernehmen müssen. Insbesondere müssen die technischen und orga- nisatorischen Massnahmen dem heutigen Stand der Technik entsprechen.
&# @yrx vpur 6i rputU 8rr
@ tvi r puvrqrr Q wrxr qr r arpx qvr Srhyvvr t qr ryrx vpur Srpu t v avry v qh qvr Srput Grvtr i vtr ryrx vpu h qr F r >tr r puvpx v q Irir rvr puyrvpurqr @:qvtt qr Qhvrr ir tr qvrr Q wrxr h Tvpu qr 9hrpur Q iyrr vr qvr 6u;uyt irvr utrvr 6surit qr vs hvryyr Tryiirvt rpur qvr A htr qr Wr u>yv>vtxrv qr irh irvrr Qr rqhr vr A htr qr 9hrvpur urv
Es werden zur Zeit von verschiedenen Interessenvertretern unterschiedliche Projekte auf dem Markt lanciert, die der Realisierung der elektronischen Rech- nung dienen. Grundgedanke bei allen Projekten ist das Verschicken einer elek- tronischen Rechnung durch den Leistungserbringer an den Kostenträger (Versi- cherer).
41 Wir mussten feststellen, dass die Tendenz besteht, in den elektronischen Rech- nungsformularen weit mehr Patientendaten zu bearbeiten als im Papierformat. Geht man davon aus, dass bis anhin dem Versicherer die papiernen Rechnungen mit den darauf enthaltenen Daten zur Kostenrückerstattung eingereicht wurden und dies auch ausreichte, stellt sich die Frage der Verhältnismässigkeit der be- arbeiteten Daten bei der elektronischen Abrechnung. Es ist nicht nachvoll- ziehbar, warum die Versicherer für die Kostenrückerstattung jetzt weit mehr Daten benötigen. Es drängt sich der Verdacht auf, dass aufgrund der Tatsache, dass mit den elektronischen Mitteln ohne Probleme weit mehr Daten bearbeitet werden können als in Papierformat, der Wunsch nach mehr Daten geweckt wird. Dies geschieht, obwohl die Datenmengen nicht unbedingt für die Aufga- benerfüllung in Form der Kostenrückerstattung erforderlich sind. Zudem sind wir der Auffassung, dass es hinsichtlich des Inhalts und des Umfangs der bear- beiteten Daten keinen Unterschied machen darf, ob der Schuldner der Patient oder aber die Versicherung ist, an die die elektronische Rechnung geschickt wird. Solange der Inhalt identisch ist, spielt es dagegen keine Rolle, ob in der Papierrechnung Klartext, in der elektronischen Rechnung dagegen für dieselbe Aussage ein Code verwendet wird.
Wie bei anderen Projekten, deren Zweck die Übermittlung von besonders schützenswerten Personendaten ist, ist darauf zu achten, dass die Übermittlung nach dem neusten Stand der Technik erfolgt (hierzu S. 74).
Treten in den Abläufen und Datenflüssen Drittfirmen als Verteiler der übermit- telten Daten beziehungsweise als Trustcenter auf, stellen sich folgende Fragen: Welche Aufgaben haben diese Trustcenter konkret? Welche Daten bearbeiten diese Trustcenter, indem sie auf sie zugreifen, lesen oder diese mutieren kön- nen? Wie lange werden Daten in den Trustcentern gespeichert? Die Möglich- keiten der zu erfüllenden Aufgaben reichen von einem reinen Verteiler, der keinen Zugriff auf Inhalte der übermittelten Daten hat, bis hin zur Übernahme von Aufgaben des Versicherers im Rahmen eines Outsourcing.
Neben diesen Gesichtspunkten bergen die Projekte auch Probleme grund- legender Art. Der vom Bundesgesetz über die Krankenversicherung statuierte Grundgedanke des «tiers garant», bei dem der Patient der Schuldner ist und im Rahmen seiner Selbstverantwortung im Gesundheitsbereich die Rechnung an den Versicherer weiterleitet, wird schleichend aufgehoben. Darüber hinaus sind die tatsächlich erfolgenden Datenbearbeitungen sowie deren Umfang dem Pati- enten nicht mehr transparent. Auf diese Weise verliert der Patient die Mög- lichkeit zur Ausübung seines datenschutzrechtlichen informationellen Selbstbe- stimmungsrechtes. Er kann nicht mehr regulierend eingreifen, indem ihm die Möglichkeit genommen wird, selber zu entscheiden, welche Daten er an den Versicherer weitergeben will.
42 In diesem Zusammenhang stellt sich auch die grundlegende Frage der rechtsge- nüglichen Einwilligung des Patienten in diese Form der Datenbearbeitung. Sollten sich diese Projekte auf dem Markt durchsetzen, scheint die für die Rechtsgültigkeit der Einwilligung erforderliche Freiwilligkeit zweifelhaft. Die Macht des Faktischen wird dem Patienten keine Möglichkeit mehr lassen, einen freien Entscheid zu fällen. Die rechtliche Zulässigkeit derartiger Bestrebungen werden damit fraglich.
&$ 9r 6 h vs Uh rq
D ahruht v Uh rq
qr 6 h vs
vq h qhrpu rpuyvpur Tvpu hyyr 9vtr qvr Brvpuxr qr qrhvyyvr r 9vhtrhthir hs qr Srpu ts yh vr qr ryrx vpur Srputryyt ryrh
Auch beim neuen Arzttarif (Tarmed) ist die Verwendung elektronischer Rech- nungen ein umstrittener Diskussionspunkt. Diesbezüglich verweisen wir auf die Ausführungen zur elektronischen Rechnungstellung/Trustcenter (siehe dazu S. 40).
Im Weiteren ist strittig, ob auf den Rechnungen systematisch detaillierte Dia- gnoseangaben an den Versicherer geschickt werden dürfen oder nicht. Wir sind der Ansicht, dass gemäss Bundesgesetz über die Krankenversicherung die sy- stematische Bekanntgabe einer sogenannten Rahmendiagnose vertretbar und verhältnismässig ist. Demgegenüber halten wir an unserer Auffassung fest, dass systematische Bekanntgaben von detaillierten Diagnoseangaben weder mit dem Bundesgesetz über die Krankenversicherung noch mit dem Verhältnismässig- keitsgrundsatz vereinbar ist. In der Regel geben die Rechnungen keinen Anlass zu Zweifeln, weshalb eine Kostenrückerstattung ohne Probleme erfolgen kann. Dagegen kann der Versicherer in begründeten Einzelfällen detaillierte Diagno- seangaben und weitere Informationen verlangen, wenn ihm eine Rechnungstel- lung nicht nachvollziehbar ist. Wir wenden uns gegen ein systematisches Be- schaffen und Horten von besonders schützenswerten Personendaten.
&% Wr shu r ir :st Xv puhsyvpuxrv v Brqurv ir rvpu
D ahruht v Wr shu r ir :st Xv puhsyvpuxrv qr qr Wr vpur r >yvpur Srputr v yy>qvtr Qhvrrqhr qr :ir :srqr Grvtr i vtr h Wr vpur tr i>qr rvr tryrvr Ihpu qr B qh qr Wr u>yv>vtxrv v rvr Dqrvsvvr t qr Qhvrr hyyrshyy v
43 6hur q @vrys>yyr r rih @ rvpu h r r xrih v qh r i hpur Grvtr rv q qr ryir Qr tr trxr vq
Nach dem Bundesgesetz über die Krankenversicherung ist der Leistungser- bringer (Arzt, Spital, Heim, Therapeut) verpflichtet, seine Leistungen wirt- schaftlich zu erbringen. Die Versicherer haben die Wirtschaftlichkeit der Lei- stungserbringer zu überprüfen. Da in der Regel Versicherer nicht über die nötigen Kapazitäten verfügen, die Wirtschaftlichkeitsüberprüfungen selber vor- zunehmen, delegieren sie diese Aufgabe an die kantonalen Versicherungsver- bände. Zum Zweck der Überprüfungen werden den Versicherungsverbänden von den Versicherern in der Regel nicht nur allgemeine Angaben über den Lei- stungserbringer wie Name, Adresse, Leistungserbringernummer, Art und Um- fang von Leistungen nach Kategorien übermittelt. Vielmehr werden den Versi- cherungsverbänden auch systematisch Patientendaten bekannt gegeben. Wir haben uns gegen diese Praxis aus Gründen der Verhältnismässigkeit gewendet. Bei der Wirtschaftlichkeitsüberprüfung geht es ausschliesslich um eine Über- prüfung des Leistungserbringers. Wir sind der Ansicht, dass es grundsätzlich ausreicht, wenn zu diesem Zweck erkennbar ist, welche Leistungen ein und der- selben Person zugute gekommen sind. Es ist nicht erforderlich, dass für die Versicherungsverbände auch erkennbar sein muss, welche Person diese Lei- stungen bezogen hat. Die Zuordnung verschiedener Leistungen zu ein und der- selben Person liesse sich durch die sogenannte Pseudonymisierung erreichen. Bei dieser würde dem einzelnen Patienten eine Nummer in Form eines Codes gegeben. Die Leistungen würden dieser Nummer und nicht dem Namen und der Adresse des Patienten zugeordnet. An die Versicherungsverbände würden von Versicherern diese pseudonymisierten Daten bekannt gegeben werden.
Da es unter den Versicherungsverbänden keine einheitliche Praxis hinsichtlich der Bekanntgabe von Patientendaten gibt, zum Teil jedoch erkannt wurde, dass die Versicherungsverbände grundsätzlich die Identität des Patienten für die Wirtschaftlichkeitsüberprüfung nicht benötigen, wurde seitens eines Versicher- ungsverbandes, dem Konkordat Schweizerischer Krankenversicherer, die Bitte unterbreitet, eine für die Schweiz einheitliche, alle Parteien befriedigende Re- gelung auszuarbeiten.
&& 9vr Cr hthir qr F hxrtrpuvpur h qvr Qhvrr
Dr u>svtr r yhtr Qhvrr qr r vpu qvr @vvpu v vu r F hxrtrpuvpur qr qr r Cr hthir Xv r rr rvr uv qvr 6vpu qh qvr F hxrtrpuvpur qr Qhvrr tru; qr 6 hst q Brrrirv
44 tr wrqpu 6sirhu t qvrr r syvpur v A: qvrr Fsyvx vq hx vxhiyr G;th>r trs ht
Immer häufiger gelangen Ärzte an uns mit der Problematik, dass Patienten von ihnen nicht nur eine Kopie ihrer Krankengeschichte im Rahmen des daten- schutzrechtlichen Auskunftsrechtes, sondern die Herausgabe der Krankenge- schichte verlangen. Die Ärzte sehen sich mit dem Konflikt konfrontiert, dass sie einerseits aufgrund kantonaler Gesundheitsgesetze zur Aufbewahrung der Krankengeschichte über mehrere Jahre hinweg verpflichtet sind, dass anderer- seits aus Sicht des Datenschutzes die Krankengeschichte dem Patienten gehört. Die Aufbewahrungspflicht dient dem Arzt unter anderem dazu, im Falle von Ansprüchen des Patienten gegen ihn aus dem Behandlungsverhältnis auch Be- weismittel in der Hand zu haben. Die Herausgabepflicht genügt dagegen dem datenschutzrechtlichen informationellen Selbstbestimmungsrecht, nach dem jede Person das Recht hat, selbst zu bestimmen, wer welche Daten über sie be- arbeitet.
Für diesen Konflikt ist eine praktikable Lösung zu suchen und zu finden. Wie bereits in unserem Leitfaden für die Bearbeitung von Personendaten im medizi- nischen Bereich dargelegt, kann unserer Ansicht nach die Lösung in einem Formular bestehen, mit dem der Patient bei Herausgabe der Krankengeschichte den Arzt ausdrücklich von seinen gesetzlichen und vertraglichen Aufbewah- rungspflichten befreit und auf alle Ansprüche gegen den Arzt aus dem Behand- lungsverhältnis verzichtet.
&' ir htt rqvvvpur 9hr r Dr r
9vr ir htt rqvvvpur 9hr v h rvshpu q qrr rpurq r ypxrq qpu vq W irtt pur r Wr ;r trtr qr 9hrpu trvr Wr uhyr rtry irhpur 7rv pu:rr r 9hr :r qvr W vpuh hur :ir qvr ir htt ryi uvhtrur
Seit einigen Jahren bereits ist eine Zunahme der Übertragung medizinischer Daten per Internet zu beobachten. Der Informationsaustausch findet statt zwischen Patienten und Ärzten, unter Ärzten, zwischen Ärzten und Untersu- chungslabors, zwischen Krankenhäusern und Ärzten, zwischen Anbietern von Pflegediensten und Versicherungen, zwischen Versicherten und Versicherungen oder zwischen Arbeitnehmern und Arbeitgebern. Um der Gefahr der Übertra- gung von besonders schützenswerten Daten an Unbefugte vorzubeugen, sind folgende Regeln zu beachten:
45
Selbstverständlich dürfen sich der Schutz und die Sicherheit nicht nur auf die Übertragung der Daten beschränken. Sie müssen auch nach Ankunft beim Emp- fänger sicher und vertraulich weiterbehandelt werden. Auf tragbaren Computern oder Personal Digital Assistant sind medizinische Daten unbedingt in ver- schlüsselter Form zu speichern. Direkt an das Internet angeschlossene Systeme müssen mit angemessenen Schutzwällen ausgestattet sein (Router, Filter, Fire- wall), um sie gegen Angriffe von aussen abzusichern. Schliesslich müssen die auf einem LAN-Server gespeicherten Daten selbstverständlich derart geschützt sein, dass sie nur für Zugriffsberechtigte zugänglich sind. In Zukunft sind vermehrt elektronische Dossiers zu erwarten, welche die ge- samte Krankheitsgeschichte des Patienten enthalten und völlig transparent ver- waltet werden.
' Brrvx
' Brr ir rssrq qvr Wr rqt qr 9I6Q svy
9vr 6h irvt rvr Brrrr s ir rssrq qvr Wr rqt qr 9I6Q svy qr irt : qpu irqhr v qr Wr vpu hs rv rr r Wr ruyh tr shu r irv qr vr rvr r F rvr 7rv qr Q :st qr @ s uhir v sytrqr 6ssht r rr) 9vr @ urit trrvpur Hhr vhy qh s v vpu
46 r yvpur Wr s:tt q v qr hq :pxyvpu Brr trrurr A>yyr 9r yvxrxhhyt hsvqr 7rv @vryyt qr Wr shu r qr A rv pu :r qvr 9I6Q svyr hhvpu h qr 9hrihx try;pu q qh trrvpur Hhr vhy r vpur r qr
Provisorische Rechtsgrundlage für die Bearbeitung genetischer Daten zwecks Strafuntersuchungen und insbesondere für die nationale DNA-Profil-Datenbank bildet die Verordnung über das DNA-Profil-Informationssystem. Aus der Sicht des Datenschutzgesetzes ist diese Rechtsgrundlage unzureichend, da es um die Bearbeitung besonders schützenswerter Daten geht. Ohne das Projekt zu billigen, erklärten wir im März 2000, dass wir diesen Lösungsansatz nicht be- kämpfen, unter der Bedingung, dass die Erarbeitung einer formalgesetzlichen Grundlage rasch in Angriff genommen wird (siehe 7. Tätigkeitsbericht 1999/2000, S. 52). Das Eidgenössische Justiz- und Polizeidepartement (EJPD) blieb seinem Engagement treu und unterbreitete dem Bundesrat im Oktober 2000 den Entwurf eines Bundesgesetzes über die Verwendung von DNA-Pro- filen im Strafverfahren und zur Indentifizierung von unbekannten und ver- missten Personen.
Das genetische Material des Menschen und das DNA-Profil sind weit mehr als gewöhnliche Fingerabdrücke oder Fotografien, da es Rückschlüsse auf Krank- heiten, Erbkrankheiten und Veranlagungen zulässt. Auch ist nicht auszu- schliessen, dass in naher Zukunft aus DNA-Profilen Informationen über Ver- anlagung oder gar den Gesundheitszustand einer Person abgeleitet werden kön- nen. DNA-Profil-Datenbanken und die Aufbewahrung von genetischem Mate- rial stellen daher eine reelle Gefahr für die Grundrechte der betroffenen Perso- nen dar. Aus diesem Grunde sind hierfür strengere Vorschriften als für die «ge- wöhnliche» Identifizierung (Fingerabdrücke und Fotografien) notwendig. Der dem Parlament vorliegende Gesetzesentwurf enthält mehrere problematische Aspekte:
Bei den Diskussionen über die Notwendigkeit eines externen Vernehmlas- sungsverfahrens wurde insbesondere argumentiert, dass ein solches Verfahren bereits für den Gesetzesentwurf über genetische Untersuchungen beim Men- schen stattgefunden habe. Dieser Entwurf betraf jedoch nicht in erster Linie die Verwendung von DNA-Profilen im Rahmen von Strafverfahren. Die minimalen Abschnitte, die dieser Frage gewidmet waren, entsprachen zudem in keiner Weise dem Entwurf, der nun dem Parlament vorliegt. Da es im Zusammenhang mit der Analyse von DNA-Profilen im Rahmen eines Strafverfahrens zahlreiche Unklarheiten gibt und es sich um eine ausserordentlich heikle Frage handelt, sind wird der Auffassung, dass ein externes Vernehmlassungsverfahren not- wendig gewesen wäre.
47 Darüber hinaus böte ein im Gesetz verankerter Deliktekatalog eine Gewähr für die restriktive Verwendung der DNA-Analyse im Rahmen eines Strafver- fahrens, während das Modell des EJPD der Polizei die Möglichkeit gibt, sich ohne eindeutigen rechtlichen Rahmen Proben zu beschaffen. Für die Telefon- und Postüberwachung haben wir ebenfalls die Notwendigkeit eines gesetzlichen Deliktekataloges betont. Diesem Vorschlag ist das Parlament bei der Annahme des Bundesgesetzes betreffend die Überwachung des Post- und Fernmelde- verkehrs gefolgt.
Die oben erwähnten Risiken und Gefahren rechtfertigen auch das Anrufen des Richters. Die richterliche Anordnung für die Erhebung von genetischem Mate- rial stellt keine Behinderung der Polizeiarbeit dar. Ausserdem ist es durchaus denkbar, dass die Polizei in dringenden Fällen selbst über die Erhebung ent- scheidet. Diese Entscheidung sollte später durch den Richter bestätigt werden.
Wir befürworten ebenfalls die automatische Löschung des Eintrags aus der DNA-Profil-Datenbank und die Vernichtung des genetischen Materials im Falle eines Einstellungsbeschlusses oder eines Freispruchs. Die Möglichkeit der zu unrecht angeklagten Person, sich in derselben Lage wie vor der erkennungs- dienstlichen Behandlung wiederzufinden, stellt ein höheres Interesse dar als die vom EJPD zugunsten einer Löschung auf Gesuch der betroffenen Person vor- gebrachten Argumente. Insbesondere wird vorgebracht, das Anmeldeverfahren zwischen den Strafverfolgungsbehörden und der für die DNA-Profil-Datenbank verantwortlichen Stelle sei unverhältnismässig.
( Avhr
( Bryq>pur rvtrr q 6r xrt Avhvr rqv> r
Br> Bryq>pur rvtrr uhr qvr Avhvr rqv> r iv
6 vy ! arv vpu rvr hr xhr Tryi rtyvr t thvhv hpuyvrr hr vr qr qv rxr 6svpu q pu qvr F yyryyr s: qvr 7rx>st qr Bryq>pur rv r rur 9hirv r v :ir :sr i qvr rvr hr xhr Tryi rtyvr t thvhv s: qvrr 6puy qr Avhvr rqv> r r yhtr V r yhtr qhrpu rpuyvpu y>vt h r Xv hpur qvr F yyryyr s: qvr 7rx>st qr Bryq>pur rv qh hs hsr xh qh vpu hpu 6iyhs rv iv q rv rvr r Ehu r rvr r rr @hyhv qr Tvhv hsq >tr : qr
Gemäss dem Bundesgesetz zur Bekämpfung der Geldwäscherei im Finanzsektor (GwG) gelten als Finanzintermediäre auch Personen, die berufsmässig fremde
48 Vermögenswerte annehmen oder aufbewahren oder helfen, sie anzulegen oder zu übertragen. Diese können sich einer anerkannten Selbstregulierungsorgani- sation (nachfolgend SRO) anschliessen, die dann den Finanzintermediär beauf- sichtigt. Finanzintermediäre, die sich keiner SRO anschliessen, unterliegen der direkten Aufsicht der Kontrollstelle für die Bekämpfung der Geldwäscherei. Die Finanzintermediäre hatten ab dem Inkrafttreten des GwG (1. April 1998) zwei Jahre Zeit, sich einer SRO anzuschliessen, ansonsten sie der direkten Auf- sicht durch die Kontrollstelle unterstehen.
Im Zusammenhang mit seinem Gesuch um Aufnahme in eine anerkannte SRO gelangte ein Finanzintermediär an uns. Er vertrat die Auffassung, dass die SRO auf ihren Aufnahmeformularen zu viele persönliche Angaben verlangen würde. Wir stellten zunächst fest, dass gemäss GwG die SRO die Voraussetzungen für Anschluss und Ausschluss von Finanzintermediären in einem Reglement fest- halten müssen. Dieses Reglement seinerseits ist von der Kontrollstelle für die Bekämpfung der Geldwäscherei zu genehmigen. Im vorliegenden Fall musste der Finanzintermediär gemäss Reglement der SRO nachweisen, dass alle mit der Geschäftsführung und Verwaltung vertrauten Personen über einen guten Leumund in Bezug auf diese Tätigkeit verfügten. Zudem hatte er aufgrund einer angemessenen Betriebsorganisation die Erfüllung der Pflichten nach GwG sicherzustellen. Die gleichen Voraussetzungen werden gemäss GwG ebenfalls von der Kontrollstelle selbst für die ihr direkt unterstellten Finanzintermediäre verlangt.
Zu prüfen war sodann, ob die von der SRO verlangten Unterlagen verhältnis- mässig, das heisst für diesen Nachweis des guten Leumunds wirklich nötig und geeignet waren. Unserer Meinung nach konnten im vorliegenden Fall allenfalls der verlangte unterzeichnete Lebenslauf sowie die verschiedenen Referenz- schreiben mit dem Verhältnismässigkeitsprinzip in Konflikt stehen. Da uns aber konkrete Anhaltspunkte fehlten, konnten wir die Frage nicht abschliessend be- urteilen. Wir wiesen jedoch darauf hin, dass im Bankbereich neue Banken ihren Bewilligungsgesuchen ebenfalls unterzeichnete Lebensläufe sowie Referenzen der mit der Verwaltung und Geschäftsführung betrauten Personen beilegen müssen. Da die Banken ebenfalls als Finanzintermediäre im Sinn des GwG gelten, konnte ein Vergleich nicht ohne weiteres ausgeschlossen werden. Daher hielten wir fest, dass die von der SRO verlangten Unterlagen nicht von vorn herein eine Verletzung des Verhältnismässigkeitsprinzips darstellten. Wir machten den Finanzintermediär darauf aufmerksam, dass er die Wahl habe, sich entweder einer anderen anerkannten SRO oder der Kontrollstelle selbst zu un- terstellen.
Wie erwähnt, trat das GwG erst auf den 1. April 1998 in Kraft. Zudem konnten die Finanzintermediäre bis zum 1. April 2000 ein Bewilligungsgesuch einrei- chen. Aus diesem Grund war es noch zu früh, eine Gesamtüberprüfung der in
49 diesem Zusammenhang verlangten Personendaten zu machen. Wir wiesen die Kontrollstelle für die Bekämpfung der Geldwäscherei jedoch darauf hin, dass sich nach Ablauf von zwei bis drei weiteren Jahren eine erneute Evaluation der Situation aufdrängen würde. Dies ist notwendig, um insbesondere zu überprü- fen, welche Unterlagen für den verfolgten Zweck (Bekämpfung der Geld- wäscherei) wirklich nötig und geeignet sind.
Xr it q Hh xrvt
Vr :pur Xr it q 7ry>vtt puhpur Qr r
6tt rvr Hh xrvtFhhtr qvr vpu h
yr r qr th x hxr Hrpur vpu r r qr vr u>svtr 9r Wr hqtrpu>s xr trpu>pur Hrpur ru tryrtr 9h qr h vtr Xr irssrvr u>svt hs vr hvhyr @irr hsv qr x;r vpu qvr Brpu>qvtr pur Xru rr
In der Wahrsager-Branche entwickelte sich beispielsweise ein Adresshan- delsnetz zwischen Belgien und der Schweiz. Empfänger der Prospekte sind meist in der Schweiz oder in Belgien lebende Senioren, die gelegentlich die Dienste eines Wahrsagers in Anspruch genommen haben. Aus der Schweiz werden via Rotterdam meist inhaltlich ähnliche Sendungen verschickt: Ankün- digung glücklicher Ereignisse und hoher finanzieller Gewinne, wenn sich der Empfänger für das Angebot entscheidet. Hingegen wurde grosses Unheil pro- phezeit, falls das Angebot abgelehnt werden sollte. Mit Hilfe von Fristen wird darüber hinaus der Beantwortungsdruck verstärkt.
Unsere Ermittlungen haben den Ursprung dieser Sendungen aufgedeckt. Durch unser Eingreifen erhielten die Kläger die Bestätigung der Löschung ihrer Daten aus den Datensammlungen. Sie wurden unseres Wissens nicht weiter belästigt.
Thvvx
9vr B q>r 7rh irvt Qr rqhr hvvpur arpxr
7rv qr Thvvx tru r r hqr r qh 7rpuhssr q 7rh irvr Qr r qhr Typur 9hr vq irv qr 6xr r qr Brryypuhs Xv puhs Fy Qyvvx q Wr hyt urv irtru q x;r s: vr
r :yvpu rv 9hirv irru qvr Brshu qh 9hr rpxrs rqr q s: vpuhvvpur 7ryhtr tr r qr
50 6r htt rtvr r Thvvx ryhr x;r hhyvr q xivvr q hpu qr Qr r h qr vpu qvr irihpurr 7r;yxr t hrr r puyr r qr
Öffentliche Organisationen oder private Stellen, die Personendaten zu statisti- schen Zwecken beschaffen und bearbeiten, müssen die Datenschutzauflagen befolgen, um die Achtung der grundlegenden Rechte und Freiheiten jedes Ein- zelnen – vor allem das Recht auf Achtung des Privatlebens – zu gewährleisten. Ausserdem sind Statistiker verpflichtet, höchste Vertraulichkeit zu garantieren, wenn sie Zugriff auf Daten beanspruchen, aus denen sie verlässliche statistische Informationen beziehen. Bei der Suche nach dem richtigen Gleichgewicht zwi- schen den Anforderungen des Datenschutzes und dem Bedarf der Statistik an Personendaten müssen drei Kriterien beachtet werden:
Das Vertrauen in die statistischen Instrumente bildet eine unverzichtbare Vor- aussetzung für das Funktionieren und die Entwicklung der Statistik. Selbst ge- ringste Zweifel an der Verwendung der zu statistischen Zwecken beschafften Daten beeinträchtigen das Vertrauen und die Verlässlichkeit der statistischen Instrumente. Der Zweckbindungsgrundsatz und das statistische Geheimnis müs- sen daher uneingeschränkt gewährleistet werden. Zu statistischen Zwecken be- schaffte und bearbeitete Daten dürfen nicht mehr zu nicht-statistischen perso- nenbezogenen Zwecken (vor allem für Entscheidungen oder Massnahmen in bezug auf diese Personen) verwendet werden.
In dieser Hinsicht muss die Funktionsweise und die Organisation der Statistik weiter entwickelt werden. Die Ära der grossen Volkszählungen und der er- schöpfenden Erhebungen gehört wahrscheinlich der Vergangenheit an. Dagegen werden immer häufiger Daten statistisch verwertet, die zu anderen Zwecken be- schafft und bearbeitet wurden. Mitunter wird die Information durch sektorielle Erhebungen auf der Basis von Stichprobenpopulationen (Mikrozensus) ergänzt. Die sekundäre Datenverwendung verlangt eine Harmonisierung der Register und der Bearbeitungen, damit die Daten zu statistischen Zwecken verwendet werden dürfen (ein Bundesgesetz über die Harmonisierung der Register befin- det sich in Vorbereitung). Daraus ergeben sich neue Herausforderungen für die Achtung des Privatlebens. Die Harmonisierung darf nicht dazu führen, dass neue, von den Statistikstellen verwaltete zentralisierte Bevölkerungsregister entstehen. Angesichts des (mit Rationalisierung und Effizienz legitimierten)
51 Drucks auf der Verwaltung ist zu befürchten, Register könnten auch zu nicht- statistischen Zwecken verwendet werden, was heute für existierende Register (Firmen, Gebäude, Wohnungen) bereits der Fall ist. Identifizierungsdaten dürfen nicht länger quasi unbefristet in statistischen Registern aufbewahrt werden, wenn sie nur für bestimmte statistische Bearbeitungsphasen erfor- derlich sind. Aus diesem Grund fordern wir Folgendes:
Mit solchen Mechanismen lässt sich die Bearbeitung von Personendaten be- grenzen. Ausserdem verhelfen sie den datenschutzrechtlichen Anforderungen in der Statistik - insbesondere dem Zweckbindungsgrundsatz - mehr Beachtung. Die Zugriffsrechte der Statistiker auf notwendige Informationen werden nicht eingeschränkt, sondern neu organisiert.
! 9r 9hrpu v trt hsvpur Ds hvrr
9h 6sxr qr Ds hvtrryypuhs q qvr ryvh vtr Wr i rvt qr Uryrvs hvxUrpuytvr irv xr vrst rvsrqr V>ytr qr vhyr V sryq q r r Vtht v Ds hv Dqvvqryyr trryypuhsyvpur ir syvpur v puhsyvpur xr vryyr yvvpur q xy ryyr @purvqtr u>tr qr Rhyv> qr r s:tih r Ds hv vr r r A>uvtxrvr q r r a tht ryrhr Ds hv hi Vr qr urr rhqvr rqr Ds hvrpu ytvr vryr qvr trt hsvpur Ds hvrr q qvr Brivrvs hv rr rvr vpuvtr Syyr0 vr ivyqr rvr srr 7rhqrvy qr Ds hvvs h x
Bei den Gebietsinformationssystemen handelt es sich um Entscheidungs- und Planungsinstrumente, die auf Informatiksystemen zur Datenerfassung und -ver- waltung und zur standardisierten oder spezifischen Datenextraktion beruhen. Ursprünglich waren die Systeme bestimmten Tätigkeiten der öffentlichen Ver- waltungen – insbesondere in den Bereichen Raumplanung, Grundbuch, amtli- che Vermessungen, Topographie, Umwelt und Statistik – vorbehalten. Heute erfreuen sie sich auch bei anderen öffentlichen Stellen steigender Beliebtheit. Auch im Privatsektor, vor allem im Versicherungswesen, Marketing, in der Kreditberatung, im Transport und im Tourismus gewinnen sie an Popularität.
52 Die kommerziellen Verwendungszwecke von geografischen Informationssy- stemen haben stark zugenommen, und digitalisierte Gebäudeaufnahmen werden systematisch vorgenommen. Damit können Datenbanken aufgebaut werden, die den vollständigen Liegenschaftsbestand aufführen. Ausserdem sind solche Informationen immer häufiger für die breite Öffentlichkeit bestimmt.
Obwohl zahlreiche Anwendungen im Zusammenhang mit geografischen Infor- mationssystemen durchaus legitim erscheinen und einem unbestrittenen öffent- lichen Interesse entsprechen, lasten die weitreichenden Konsequenzen der Sy- steme betreffend Technologie und Information den Gestaltern und Benutzern eine schwere gesellschaftliche Verantwortung auf. Die Systeme besitzen neben zahlreichen Vorteilen auch Nachteile, die kontrolliert werden müssen. Eine ne- gative Auswirkung besteht in den realen oder potenziellen Beeinträchtigungen der Persönlichkeitsrechte und den Grundrechten, insbesondere des Rechts auf Privatsphäre.
In der Auseinandersetzung mit dem Problem geografische Informationssysteme hatten wir zunächst den Eindruck, dass die Systeme den Schutz von Personen- daten nicht berührten. Ein geografisches Informationssystem betrifft in erster Linie das Gebiet, den Raum und die Umwelt. An sich dürfte es keine Angaben über bestimmte oder bestimmbare Personen enthalten. Räumliche Daten um- fassen jedoch nicht nur rein geografische Angaben, sondern auch soge- nannte ökonomische oder statistische Attribute, die persönlichen Charakter be- sitzen können, d.h. sich auf eine identifizierte oder identifizierbare Person be- ziehen. Geografische Informationssysteme, die sich auf relationale Datenbanken stützen, ermöglichen die Erfassung von geometrischen (geokodierte Daten, Po- sitionen, Koordinaten) und faktischen Daten (Eigenschaften, Attribute). Sie er- leichtern die inhaltliche und räumliche Verknüpfung der Daten in einem kom- plexen logischen Verhältnis. In der Kartographie werden mit den Computer- technologien komplexe Modelle entwickelt, welche sehr genaue Analysen lie- fern und dadurch Rückschlüsse auf die Personen erleichtern. Mit an die - vor allem satellitengestützte - Fernerkundung gekoppelten geografischen Informati- onssystemen lassen sich Vorgänge, die durch Beobachten vor Ort schwer er- kennbar sind, auf einer Karte problemlos orten. So wird es möglich, Personen in Bezug auf einen Ort, ein Objekt oder ein Gebäude zu identifizieren. Mit solchen Techniken kann z.B. ein Fahrzeug geortet, ein Gebäude lokalisiert, die Ver- wendung von Agrarsubventionen überwacht oder zur Schadenskontrolle beige- tragen werden. Die Systeme stellen also äusserst leistungsfähige Instrumente dar, welche (vor allem durch die Verknüpfung mit der geographischen Lokali- sierung, dem sog. Geokodierungsverfahren) eine Datenintegration ermöglichen. In Bereichen wie dem Marketing, dem Versicherungswesen oder der Kreditbe- ratung erweisen sich die Systeme als vielversprechende Technik mit einen un- geahnten Potenzial, Daten über Einzelpersonen, Haushalte und Unternehmen aus verschiedenen Informationsquellen zu kombinieren und zusammen-
53 zustellen. Tatsächlich lassen sich Informationen aus verschiedenen Datenbe- ständen - insbesondere aus öffentlichen Registern - miteinander verknüpfen und verschiedenen Benutzern zugänglich machen. In der Kartenherstellung kann das Haushaltsprofil im Massstab einer kleinen Gemeinde, eines Quartiers oder einer Strasse nach Alter, Beruf, Kinderzahl, Einkommens- oder Vermögensstufe, Wohnungstyp usw. abgebildet werden. Geografische Informationssysteme haben sich zu äusserst leistungsfähigen Werkzeugen zur Analyse und Be- arbeitung von Personendaten entwickelt. Wegen der Datenintegration und der analytischen Aussagekraft und wegen der lokalen und räumlichen Angaben bieten solche Systeme ein bei anderen Informationssystemen unbekanntes Po- tenzial, weit in die Privatsphäre des Einzelnen einzudringen.
Die Entwicklung der geografischen Informationssysteme und der Gebietsinfor- mationssysteme muss den Imperativen des Rechtsstaates und der demokrati- schen Gesellschaft Rechnung tragen. Insbesondere müssen sie die Persönlich- keits- und die Grundrechte beachten. Daher ist es erforderlich, die Einführung und Verwendung solcher Systeme in einen geeigneten Rahmen an Gesetzen und Verordnungen zu stellen, um den Datenschutz zu gewährleisten, gleichzeitig aber überwiegende öffentliche oder private Interessen, welche gegebenenfalls die Bearbeitung von Personendaten rechtfertigen, zu berücksichtigen. Dabei muss insbesondere Folgendes gewährleistet werden:
qvrU hh rqr 7rh irvtQr rqhrvrvrtrt hsvpur Ds hvr)Die betroffenen Personen müssen über den Zweck des Systems, die Kategorien der bearbeiteten Daten, die Systembenutzer und die Informationsempfänger unterrichtet werden und ihre Rechte einfordern kön- nen.
9vrWr rqtrpxrqrtrt hsvpurDs hvrr srtryrtqrvtruhyrr qr Bei nicht-personenbezogenen Verwen- dungszwecken (insbesondere im Rahmen der Statistik) muss das Statistikge- heimnis gewahrt und die Anonymität in der Veröffentlichung oder Verbrei- tung gewährleistet werden.
Bru yrvtqr 9hrhyv(Richtigkeit, Aufdatierung, befristete Aufbewahrung).
54
9vrSrpurqr ir ssrrQr rrtru yrvrr qr. Das gilt namentlich für das Recht auf vorangehende Information, das Auskunftsrecht zu Daten über sie und das Recht, das systematische Beschaffen und Bear- beiten von Bilddaten zum Wohnumfeld zu kommerziellen Zwecken zu ver- weigern. Die betroffene Person hat das Recht, sich der Datenberbreitung über Internet oder der Speicherung auf CD-Rom zu widersetzen.
" 9 pus:u t qr Wyx>uyt !
6y Tvpuht qr Wyx>uyt qr qr $ 9rrir ! srtryrt 6yyr qvrr arvx v qr Tpurv uuhsr Qr r r rvr A htritr hs:yyr q uhir h qvrr shrqr @ urit rvytrr qvr rvr vxy ryyr ir vpu qr Ghqr vrqr trir yy Vr r 6sthir irhq qh v s: qvr @vuhy t qr W pu vsr qr 7qr :ir qr 9hrpu tr D 6yytrrvr qr qvr r puvrqrr Quhr qr Wyx>uyt qttr> q putrs:u 9rpu tvy r hpu rvr uv hpuh iyrvir q r r 7r ht q F yysxv h:ir
Die Volkszählung 2000 fand am 5. Dezember 2000 statt. Die Personen-, Haus- halts- und Gebäudefragebögen wurden vorgedruckt und an alle in der Schweiz wohnhaften Personen zugestellt. In den Kantonen Luzern und Jura haben die vorgedruckten Daten zu einigen Schwierigkeiten geführt. Durch das Eingreifen der kantonalen Überwachungsbehörden konnten die Fehler berichtigt werden. Anschliessend wurden die ausgefüllten Fragebögen entweder per Post oder per Internet über das System «e-census» an das Bearbeitungszentrum gesandt. Die Internet-Übertragung der Volkszählungsdaten erfolgte mittels einer 128-Bit- Verschlüsselung, die dem heutigen Stand der Technik entspricht und eine hohe Sicherheit gewährleistet. Dem vom Bundesamt für Statistik (BFS) entwickelten Konzept «e-census» schenken wir bei der Ausführung unserer Kontrollaufgaben besondere Aufmerksamkeit, wobei uns das dazugehörende Bearbeitungs- reglement von grossem Nutzen sein wird.
Die meisten Kantone und zahlreiche Gemeinden haben die im Zusammenhang mit der Volkszählung anfallenden Aufgaben einem Dienstleistungszentrum übertragen, das vom BFS beauftragt wurde und aus mehreren Unternehmen be-
55 steht. Die Räumlichkeiten befinden sich in verschiedenen Städten und Kanto- nen.
Das Verfahren zur Bearbeitung der Fragebögen kann wie folgt zusammenge- fasst werden: Die von Hand ausgefüllten Fragebögen wurden direkt beim Ein- treffen im Briefzentrum in Luzern gescannt. Danach wurde die elektronische Fassung zur Verbesserung der Lesbarkeit an das Unternehmen DCL Data Care AG in Kriens (Kanton Luzern) weitergeleitet.
Für Fragen zu den Formularen wurde ein telefonischer Auskunftsdienst (Hot- line) eingerichtet.
Nach Ablauf der Frist für das Einreichen der Fragebögen (12. Dezember 2000) kam ein telefonisches und schriftliches Mahnungssystem zum Einsatz.
Das Dienstleistungszentrum war verpflichtet, alle erforderlichen Massnahmen zur Sicherstellung des Datenschutzes zu treffen. Oberstes Gebot für DCL war die Einhaltung der datenschutzrechtlichen Anforderung im Bundesgesetz über die Volkszählung, in der Vollzugsverordnung über die eidgenössische Volks- zählung, in den Richtlinien des BFS über die Arbeiten des Dienstleistungszen- trums und in den Verträgen mit dem BFS.
Das Informatiksystem des Dienstleistungszentrums wurde vor Inbetriebnahme durch die Einheit für Informatikstrategie des Bundes und durch unsere Vertreter kontrolliert. Darüber hinaus wurde ein externes Kontrollorgan mit der Erstel- lung eines Berichtes zum Datenschutz im Dienstleistungszentrum beauftragt.
Im Mai 2000 entstand eine Datenschutz-Kontrollgruppe bestehend aus unseren und kantonalen Vertretern (Zürich, Basel-Landschaft und Freiburg). Diese Gruppe wurde während der Phase des Vordrucks der Volkszählungsformulare tätig. Als Überwachungsorgan hatte die Gruppe für die Einhaltung und Koordi- nierung der Weisungen in Sachen Datenschutz auf Bundes- und Kantonsebene zu sorgen.
Die in der Kontrollgruppe vertretenen Kantone wünschten ihre Beteiligung ab dem 5. Dezember 2000 zu unterbrechen, d.h. ab Beginn der neuen Phase, zu der vor allem in unseren Zuständigkeitsbereich fallende Bundesaufgaben gehören. Die Verantwortlichen in den Kantonen konzentrieren sich seitdem auf die Da- tenbearbeitung in Kantonen und Gemeinden. Für Daten, deren Bearbeitung von den Kantonen an DCL delegiert wurde, können sie aber nach wie vor Kontrollen im Dienstleistungszentrum durchführen.
56 Wir haben im Dezember 2000 und im Januar 2001 Kontrollen in den mit Volks- zählungsaufgaben beauftragten Stellen durchgeführt. Unsere Vertreter haben folgende Einrichtungen besucht:
Bei den Besuchen ging es im Wesentlichen darum, die Einhaltung der Daten- schutzvorschriften zu überprüfen. Die Räumlichkeiten wurden kontrolliert, um die Gewährleistung der Sicherheit bei Datenzugriff und -aufbewahrung sicher- zustellen. Die Mitarbeiter wurden befragt, um festzustellen, ob sie in Sachen Datenschutz ausreichend geschult und sensibilisiert wurden. Die Kommunikati- onsmittel und Datenträger wurden kontrolliert. Schliesslich wurde ebenfalls die Informatiksicherheit geprüft.
Die Kontrollen haben zu keinerlei Befürchtungen hinsichtlich der Datensicher- heit Anlass gegeben. Die für die Kontrollen notwendigen Unterlagen wurden zur Verfügung gestellt und gezielte Stichproben zeigten, dass die Aufgaben ordnungsgemäss von einem über das einzuhaltende Amtsgeheimnis infor- mierten Personal ausgeführt wurden.
Noch anstehende Aufgaben zur Volkszählung sind die Erhebung noch fehlender Daten (Vervollständigung), die Vollzähligkeitserhebung, der Datenrückfluss an Kantone und Gemeinden, die Anonymisierung, die Auswertung der in den ein- gegangenen Fragebögen enthaltenen Daten und schliesslich die Vernichtung oder Archivierung der für die Volkszählung 2000 verwendeten Datenträger. Wir werden während den einzelnen künftigen Etappen Kontrollen durchführen.
! Hqr vvr t qr 9hrpur
! Vr rt rvr Hqr vvr t qr 9hrpur
Ihpu qr 6hur rvr Hvr qr Brpu>s :stxvv q qr F vv s: Srpus htr qr T>qr hr qr qh 7qrh s: Ev irhs ht rvr W r s s: qvr Srvv qr 7qrtrrr :ir qr 9hrpu ir rvr 9r W r s v q v Ehu ! v qvr Wr ruyht trtrir 9r @vqtr ;vpur 9hrpuirhs htr uh h qr 6 irvr vtrv x
57
Acht Jahre nach dem Inkrafttreten des Bundesgesetzes über den Datenschutz (DSG) ist der Bundesrat daran, dem Parlament eine Botschaft zur Teilrevision des DSG zu unterbreiten. Mit der Veränderung soll der Motion 98.3529 der Ge- schäftsprüfungskommission des Ständerates «Erhöhter Schutz für Personen- daten bei Online-Verbindungen» sowie der Motion 00.3000 der Kommission für Rechtsfragen des Ständerates «Erhöhte Transparenz bei der Erhebung von Personendaten» Folge geleistet werden. Gemäss den beiden Motionen betrifft die Revision in erster Linie die Einführung einer Gesetzesbasis, welche die Durchführung von Pilotprojekten mit Zugriff per Abrufverfahren ermöglichen würde. Die Revision wird Mindestvorschriften für Zugriffsrechte, Verwendung und Kontrolle der eidgenössischen Datenbanken festlegen, um die Zusammen- arbeit zwischen Bund und Kantonen zu verbessern. Schliesslich wird die Infor- mationspflicht der privaten Personen beim Beschaffen von besonders schüt- zenswerten Personendaten oder Persönlichkeitsprofilen eingeführt. Daneben soll sich die Revision noch auf weitere Aspekte beziehen.
Aus Anlass der Revision möchten wir Bilanz zur Anwendung des DSG ziehen und untersuchen, inwieweit ein Veränderungsbedarf des Gesetzes gegeben ist. Obwohl das DSG erst vor relativ kurzer Zeit verabschiedet wurde, beruht es auf dem Konzept der Datenschutzgesetzgebungen Ende der 70er Jahre. Im Gegen- satz zu bestimmten kantonalen und ausländischen Gesetzen verfolgt das DSG jedoch einen nicht-technologischen Ansatz, der eine gewisse Flexibilität bietet und eine bessere Anpassung an die technologische Entwicklung erlaubt. Trotz- dem erscheint eine Modernisierung des Datenschutzes sinnvoll, vor allem um der Entwicklung des Europarechts, den Informationstechnologien, der Globali- sierung und der Verbreitung des Informationsaustausches Rechnung zu tragen. In diesem Rahmen sind folgende Massnahmen zu treffen:
58 setzungen für das Bearbeiten von schützenswerten Daten und von Persön- lichkeitsprofilen im Privatsektor müssen verschärft werden;
Die Gesetzesänderung sollte ausserdem in den Kantonen, die bereits über ein Datenschutzgesetz verfügen, einen Revisionsprozess auslösen und die übrigen Kantone zur Verabschiedung eines solchen Gesetzes veranlassen. Es gilt, die Harmonisierung zwischen Bundes- und Kantonsrecht sicherzustellen und gege- benenfalls die Kompetenzverteilung zwischen Bund und Kantonen zu prüfen, vor allem wenn die Kantone in Anwendung des Bundesrechtes Daten bear- beiten.
Die gegenwärtige Revision dürfte sich daher nicht auf die Umsetzung der beiden Motionen beschränken. Allerdings darf die Modernisierung des Daten- schutzes weder in einer Totalrevision des DSG münden noch die grundlegenden Prinzipien des Datenschutzes, die sich aus dem Übereinkommen des Europa- rates zum Schutz des Menschen bei der automatischen Verarbeitung personen- bezogener Daten (Übereinkommen Nr. 108) ergeben, in Frage stellen. Auch die Gliederung des Gesetzes ist beizubehalten. Die Modernisierung des Daten- schutzes verfolgt die folgenden Ziele:
T xtqr Qvvqqr Wr h tqr @vryr virths qvr7rh irvtvu r Qr rqhr. Die Garantie des Selbstbestimmungs- rechts des Einzelnen im Informationsbereich setzt voraus, dass der Einzelne auch in der Lage ist, aktiv zur Entwicklung der Informationsgesellschaft bei- zutragen und Verantwortung für ihn betreffende Datenbearbeitungen zu übernehmen. Bevor die Daten beschafft oder bekanntgegeben werden, muss er vorher darüber informiert worden sein. Er darf nicht gezwungen werden, unerwünschte Datenbearbeitungen zu dulden, sondern muss sie ohne grö- ssere Hindernisse verweigern können. Ausserdem muss er über (insbeson- dere technische) Mittel verfügen, um den Schutz des Privatlebens zu ver- wirklichen und zu bestimmen, welche Personendaten über ihn von wem be- arbeitet werden dürfen. Dazu muss das Gesetz den Einsatz von Mecha- nismen zur Verschlüsselung, zur anonymen Bekanntgabe und zur pseud- onymen Verwendung fördern.
Hru Wr h tqr Qr rqTryyrqvrQr rqhrirh irvrqr irh irvryhr Die für die Bearbeitung verantwortlichen Per- sonen haben eine bessere Transparenz ihrer Bearbeitungen sicherzustellen. Sie sind verpflichtet, die betroffenen Personen bei der Beschaffung der Da- ten zu unterrichten. Anders als in der Motion der Kommission für Rechts- fragen des Ständerates vorgesehen, darf sich die Informationspflicht nicht
59 auf schützenswerte Daten oder Persönlichkeitsprofile beschränken, sondern muss jede Datenbearbeitung unabhängig von der Datenart erfassen. Wie wir feststellten, werden nicht schützenswerte Daten häufig ohne die Kenntnis der betroffenen Personen bearbeitet. Damit werden die Persönlichkeitsrechte be- einträchtigt – mit möglicherweise gravierenden Folgen für die Person, die ihre Rechte nicht geltend machen kann. Das gilt insbesondere für den Fi- nanzsektor. Die Bearbeitungsverantwortlichen müssen ausserdem die Daten transparenter bearbeiten und gründlicher dokumentieren. Das Gesetz sollte deshalb regelmässige Audits zum Datenschutz verlangen und die Schaffung von Datenschutz-Labels fördern. Ausserdem sollte es für Berufsstandesor- ganisationen und Dachverbände die Möglichkeit vorsehen, Verhaltens- kodizes im Datenschutz, welche die Gesetzesanforderungen konkretisieren und ergänzen, zu entwickeln.
6 rvs qr@vhUrpuytvrrypurqvr6putqrQ vh yrirr 0tyvpurZiel ist, die Datenschutzauflagen bereits bei der Ge- staltung und Entwicklung von Personendaten-Bearbeitungssystemen (Hard- und Software) zu berücksichtigen. Die Systeme sind nach dem Grundsatz der Datensparsamkeit zu gestalten. Zudem soll das Gesetz Anonymisierungs- und Pseudonymisierungstechniken erlauben und fördern, sofern dies möglich und zur Gefahr einer Verletzung der Privatsphäre nicht unverhält- nismässig ist.
Ch vvr tqr purvr vpurBrrtritvqrr vpur Srpu, sofern sich damit vermeiden lässt, dass die Verantwortlichen der Da- tenbearbeitung, die auch in der Europäischen Union tätig sind, mit unter- schiedlichen Datenschutzanforderungen konfrontiert werden.
Wr v xyvputqrah xyy3ir rvxr ', welches die Verpflichtung der Parteien vorsieht, eine oder mehrere unabhängige Kon- trollbehörden einzusetzen. Das Protokoll regelt ausserdem grenzüber- schreitende Datenübermittlungen an Empfänger in Staaten, welche die Kon- vention nicht ratifiziert haben (siehe 7. Tätigkeitsbericht 1999/2000, S. 89, und nachstehend S. 88).
Srqvr tqr i x hvpur6syhtrqrBrrr durch den Verzicht auf die Anmeldepflicht, sofern sie für den Datenschutz keinen Mehrwert bringt. So könnte die Anmeldungspflicht für grenzüberschreitende Daten- flüsse aufgehoben werden. Das Register der Datensammlungen, das für die Bearbeitungstransparenz eine Rolle spielen muss, muss geändert werden. Ausserdem wäre es denkbar, die Bearbeitungsverantwortlichen zu ver- pflichten, eine Liste der Bearbeitungen zu führen und diese allgemein zu- gänglich zu machen. Das vom EDSB geführte Register der Datensamm- lungen könnte sich dabei auf Bearbeitungen von schützenswerten Daten und
60 Persönlichkeitsprofilen oder solche, die eine regelmässige Datenbe- kanntgabe beinhalten, beschränken.
Wr xrF yyrqr9hrpur. Das Gesetz sollte Datenschutz- berater der Bundesorgane und der Privatpersonen, die für Bearbeitungen verantwortlich sind, institutionalisieren und ihnen Kontrollaufgaben über- tragen.
Arvttqr 7r htqWr vytirstvrqr@vqtr0vpur 9hrpuirhs htr Die Vermittlung zwischen dem Bearbeitungs- verantwortlichen und den betroffenen Personen ermöglicht der Einzelperson, ihre Rechte ohne Rückgriff auf bisweilen aufwendige und kostspielige Zivil- oder Verwaltungsverfahren einzufordern. Vor allem im Privatsektor lassen sich Einzelpersonen ungern auf ein Verfahren ein, in dem sie dem Bearbei- tungsverantwortlichen an Verteidigungsmitteln oft unterlegen sind. Der Eid- genössische Datenschutzbeauftragte wird künftig den Schwerpunkt seiner Arbeit auf die Beratungs-, Vermittlungs-, Ausbildungs- und Information- stätigkeiten setzen müssen. Ausserdem soll er in der Lage sein, sich frühzei- tig auf technologische Entwicklungen einzustellen und Ratschläge zur da- tenschutzkonformen Entwicklung von Bearbeitungssystemen zu erteilen. Kontrollen bleiben nichtsdestotrotz unerlässlich und müssen insbesondere in Situationen durchgeführt werden, in denen die Bearbeitung eine grosse An- zahl Personen gravierend zu beeinträchtigen droht. In dieser Hinsicht muss der Datenschutzbeauftragte auf verstärkte Ermittlungskompetenzen zählen können. Wie bei den Zuständigkeiten der Eidgenössischen Finanzkontrolle müsste dem EDSB die Möglichkeit eingeräumt werden, Bearbeitungen durchzuführen und insbesondere Datenbanken zur Überprüfung ihrer Geset- zeskonformität abzufragen. Der Datenschutzbeauftragte soll ausserdem ein Mittel zur Durchsetzung seiner Empfehlungen besitzen. Insbesondere muss er die an die Bundesstellen gerichteten Empfehlungen der Eidgenössischen Datenschutzkommission vorlegen können (siehe 6. Tätigkeitsbericht 1998/1999, S. 134ff, 181).
61 DD X@DU@S@ UC@H@I
6xs rpu
6xssyvpu qr 7qr thr
7rv 6xs rpu uhqry r vpu rv B q rpu qr ir ssrr Qr q qh Tpuy:ryryrr qr 9hrpur @ v qvr rvvtr H;tyvpuxrv s: qvr ir ssrr Qr vu r Srpur tryrq hpur 6r v Ahyyr trtrrvyvtr Brrrirv tr v rv 7qr th r syvpur qvr v 7qrtrr :ir qr 9hrpu srtryrtr W pu vsr :ir qh 6xs rpu rvuhyr 7rv Wr rvtr t qr @vpu >xt qvrr Srpur uh qh 7qr th rvr @purvqt irt :qr
In einem Fall ersuchte eine Privatperson bei einem Bundesamt um Auskunft über sämtliche sie betreffende Dokumente. Das betreffende Amt übermittelte dem Gesuchsteller einen Teil der gewünschten Dokumente, machte jedoch in manchen Akten gewisse Stellen unleserlich, ohne dies zu begründen. Daraufhin wandte sich der Gesuchsteller an das zuständige Departement, indem er den Verstoss gegen das Bundesgesetz über Datenschutz (DSG) und insbesondere gegen die Bestimmungen über das Auskunftsrecht geltend machte. Einige Tage später schilderte er seinen Fall dem Eidgenössischen Datenschutzbeauftragten, um zu erfahren, ob die Praxis des Amtes mit dem DSG im Einklang stehe. Bei Einschränkung des Auskunftsrechtes ist der Inhaber der Datensammlung ver- pflichtet, die betroffene Person innerhalb von 30 Tagen nach Eingang des An- trages darüber schriftlich in Form eines begründeten Entscheids zu unterrichten. Wir haben daher das betreffende Amt aufgefordert, den Fall im Einklang mit dem DSG zu behandeln, jedoch ohne Ergebnis. Darüber hinaus erwiderte das zuständige Departement dem Gesuchsteller, das DSG käme im vorliegenden Fall nicht zur Anwendung, aus dem einfachen Grunde, weil keine Datensamm- lung existiere. Eine Datensammlung ist jeder Bestand an Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind. Aus der Tatsache, dass dem Gesuchsteller ihn betreffende Dokumente zugestellt wurden, geht das Bestehen einer Datensammlung und demzufolge die Anwend- barkeit des DSG klar hervor. In einem zweiten Versuch haben wir das Departe- ment daran erinnert, dass das DSG einzuhalten ist. Schliesslich wurde dem An- tragsteller eine dem geltenden Recht entsprechende Entscheidung zugestellt, gegen die er gegebenenfalls Rechtsmittel einlegen kann.
Das Bundesorgan, das Inhaber der Datensammlung ist, muss dem Gesuchsteller nicht nur alle über ihn in der Datensammlung vorhandene Daten zukommen las- sen, sondern ihm ebenfalls den Zweck und gegebenenfalls die Rechtsgrundla-
62 gen der Bearbeitung, die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger mitteilen. Das Bundesorgan kann die Auskunft nur verweigern oder einschränken, soweit ein formelles Ge- setz es vorsieht: Das ist beispielsweise bei den Datenbanken zur Verbrechens- bekämpfung der Fall, für die der Gesetzgeber ein indirektes Auskunftsrecht vorgesehen hat, das durch den Datenschutzbeauftragen ausgeübt wird. Der In- haber der Datensammlung kann ebenfalls die überwiegenden Interessen eines Dritten geltend machen, wenn z.B. das beantragte Dokument Angaben über die Gesundheit einer Drittperson enthält. Die Einschränkung des Auskunftsrechtes kann ebenfalls wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft, erforderlich sein. Ein weiterer Grund für die Verweigerung oder Einschränkung des Auskunftsrechtes liegt vor, wenn die Auskunft den Ablauf eines Untersuchungsverfahrens zu be- einträchtigen droht. Wie wir bereits weiter oben erwähnten, ist bei Verwei- gerung oder Einschränkung des Auskunftsrechtes immer ein begründeter Ent- scheid vorzulegen. Der Gesuchsteller kann beim Departement Beschwerde einlegen und dessen Verfügung bei der Eidgenössischen Datenschutzkom- mission anfechten. Deren Entscheid unterliegt der Verwaltungsgerichts- beschwerde an das Bundesgericht.
! Wr rvtr t qr @vvpuhur v Q :stvr
B q>yvpu shyyr Ivr qvr s: qr r ;yvpur Bri hpu r ryy r qr vpu v qr 6rqtir rvpu qr 9hrputrrr 9vr tvy hyyr qvt vpu vr ) @v Q :stxhqvqh uh 6 rpu hs @vvpuhur v Ivr rypur qvr Q :st rr r >u rq qr :qyvpur Q :str r ryy uhir
Ein Kandidat, der die Höhere Fachprüfung für eidgenössisch diplomierte Ver- kaufsleiterinnen und Verkaufsleiter absolviert hat, möchte nach Erhalt des ne- gativen Prüfungsentscheids die Prüfungsakten einsehen. Dem Kandidaten werden nur die schriftlichen Prüfungsunterlagen zugänglich gemacht. Die Prü- fungskommission, ein Bundesorgan im Sinne des Bundesgesetzes über den Datenschutz, verweigert ihm aber die Einsichtnahme in Notizen, welche die Experten im Verlauf der mündlichen Prüfungen erstellt haben. Die Prüfungs- kommission stützt sich dabei auf ein Merkblatt des Bundesamtes für Berufs- bildung und Technologie. Darin wird das Recht auf Einsichtnahme in persön- liche Expertennotizen sogar ausdrücklich ausgeschlossen.
Das Bundesgesetz über den Datenschutz findet grundsätzlich keine Anwendung auf Personendaten, die von einer natürlichen Person ausschliesslich zum per- sönlichen Gebrauch bearbeitet und nicht an Aussenstehende bekannt gegeben werden. Dieser Grundsatz gilt sowohl für Notizen für den Privatbereich wie
63 auch für Notizen, die in Ausübung des Berufes angefertigt werden und dabei lediglich als Gedankenstütze oder Arbeitshilfe gedacht sind. Etwas anderes gilt aber für Notizen, die Experten im Verlauf von mündlichen Prüfungen erstellt haben.
Diese Expertennotizen dienen nur in ganz seltenen Fällen einzig und alleine dem persönlichen Gebrauch. So liegt spätestens dann kein persönlicher Ge- brauch mehr vor, wenn der Experte seine Notizen anlässlich einer Notenkon- ferenz öffentlich kund tut oder seine Prüfungsnotizen pflichtgemäss in ein Kan- didatendossier ablegt, das von einem Dritten eingesehen werden kann. Ausser- dem sind diese Notizen für die spätere Notengebung mitentscheidend und damit mehr als eine blosse Gedankenstütze des Experten. Prüfungsnotizen eines Ex- perten fallen daher klar in den Anwendungsbereich des Datenschutzgesetzes.
Auch die Bezeichnung der Expertennotizen als interne Akten hilft der Prü- fungskommission nicht weiter. Als intern werden jene Akten bezeichnet, die lediglich der verwaltungsinternen Meinungsbildung dienen und daher nicht vor der Öffentlichkeit ausgebreitet werden sollen. Das datenschutzrechtliche Aus- kunftsrecht umfasst - im Gegensatz zum rein verfahrensrechtlichen Aktenein- sichtsrecht - auch die internen Akten.
Der Kandidat kann mit dem datenschutzrechtlichen Auskunftsrecht verlangen, dass ihm alle über ihn in der Prüfungsakte vorhandenen Daten mitgeteilt werden, also auch die Expertennotizen. Die Ausnahmen zum Auskunftsrecht werden im Datenschutzgesetz abschliessend aufgeführt. So kann der Inhaber der Datensammlung die Auskunft nur verweigern, einschränken oder auf- schieben, wenn ein formelles Gesetz dies vorsieht oder überwiegende Interessen eines Dritten dies erfordern. Ein Bundesorgan wie die vorliegende Prüfungs- kommission kann die Auskunft zudem verweigern, einschränken oder auf- schieben, wenn dies wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft, erforderlich ist oder wenn die Auskunft den Zweck einer Strafuntersuchung oder eines anderen Untersuchungsverfahrens in Frage stellt.
Wir sind somit der Ansicht, dass einem Prüfungskandidaten die Einsicht in alle ihn betreffenden Prüfungsunterlagen, auch in die Expertennotizen, gestattet werden muss.
64 ! Fqrxh r
! Fqrxh r) H8y
9vr Hvt qh s qvr Dqrv> qr Duhir rvr H8yFh r qr v Wr qhpu ru trtr qh Brrvqr rtyrr 6ishyyr tt r r uhir qr Brrvqr vpu irxhtrir
In unserem 7. Tätigkeitsbericht 1999/2000, S. 65 wurde die Frage behandelt, ob die Migros einem Untersuchungsrichter Name und Adresse des Inhabers einer M-Cumulus-Karte bekanntgeben darf oder nicht. Die Kassenquittung mit aufgedruckter M-Cumulus-Nummer war in einem Abfallsack aufgefunden worden. Die Frage wurde unter dem Gesichtspunkt des Zeugnisverweigerungs- rechtes geprüft. Da die Migros nicht zu den privaten Personen zählt, die von der Pflicht, vor Gericht auszusagen, befreit werden können, wurde die Bekanntgabe als zulässig erklärt. Dem Untersuchungsrichter, der um die Bekanntgabe ersucht hatte, wurde im Rahmen eines hängigen Strafverfahrens die Identität des Kar- teninhabers mitgeteilt.
Im Jahr 2000 haben wir folgenden Fall behandelt: Die Migros fragte nach, ob sie einem Auskunftsgesuch, diesmal von einer Gemeinde, nachkommen dürfe oder nicht. Die Gemeinde handelte in ihrer Eigenschaft als Ausführungsorgan eines kommunalen Verwaltungsreglements zur Abfallbewirtschaftung.
Wir verneinten diese Frage. Die Erteilung derartiger Auskünfte im Rahmen eines erstinstanzlichen Verwaltungsverfahrens wird durch das Bundesgesetz über den Datenschutz geregelt. Eine solche Bekanntgabe verstösst gegen das Zweckbindungsgebot, auf dessen Grundlage die Personendaten der M-Cumulus-Karten gesammelt werden. Es darf daran erinnert werden, dass sich die Migros verpflichtet, die Daten nur innerhalb der Migros-Genossenschaft zu Marketing- oder Statistikzwecken zu bearbeiten und nicht an aussenstehende Dritte weiterzugeben.
" Wvqr:ir hput
" Wvqr:ir hput v Q vhir rvpu
qhrpu rpuyvpur Hv qrhs qr tr
Q vhr Qr r q: sr Wvqr:ir hputrr rvrr r qvr qhr pu rpuyvpur B q vvvr r s:yy vq 6trvpu qr vryr 6s htr uh qr @9T7 qvrr Uurh rv Hr xiyh ur htrir
65
Im privaten Bereich werden immer häufiger Videoüberwachungssysteme auf- gestellt, um Personen zu schützen und Sachbeschädigungen zu verhindern. Dementsprechend gelangten zu diesem Thema verschiedene Anfragen an uns. Wir haben deshalb ein Merkblatt ausgearbeitet (siehe S. 113), das die allge- meinen Voraussetzungen für den Einsatz von Videoüberwachungssystemen wiedergibt. Die Videoüberwachung am Arbeitsplatz wird darin jedoch nicht behandelt.
Die Benutzung von Videokameras durch private Personen zwecks Über- wachung untersteht dem Bundesgesetz über den Datenschutz, sofern sich die gefilmten Bilder auf eine oder mehrere bestimmte oder bestimmbare Personen beziehen, unabhängig davon, ob die Bilder aufbewahrt werden oder nicht. Die vorgenommenen Bearbeitungen (Erfassen, Bekanntgabe, unmittelbares oder nachträgliches Anschauen, Aufbewahrung der Bilder, usw.) müssen im Ein- klang mit den allgemeinen Grundsätzen des Datenschutzes stehen.
Ein Videoüberwachungssystem darf nur eingesetzt werden, wenn die zwei fol- genden Bedingungen erfüllt sind:
Bei der Installation und dem Gebrauch eines Videoüberwachungssystems müs- sen die folgenden Regeln respektiert werden:
66 enhaus das Hinweisschild für jede eintretende Person gut ersichtlich sein (Prinzip von Treu und Glauben sowie Auskunftsrecht).
67 "! Wvqr:ir hput v ;ssryvpur Wr xru
qhrpu rpuyvpur Hvqrhs qr tr
D ;ssryvpur Wr xru v q r ru Wvqrxhr h trt vssr qr Whqhyv irx>sr q qh Tvpur urvtrs:uy r u;ur Avqr rvr Wvqr:ir hput h qvrr s: qvr Qhhtvr r r xrih rv aqr vq qvr hstr rr 7vyqr v qr Srtry hpu 6iyhs !# Tqr y;pur Chqry r vpu irv U h r rur rv 7qr th i hpu r s: qvr Wvqr:ir hput qr rvr trryvpur B qyhtr
Im öffentlichen Verkehr zeichnet sich die Tendenz ab, zur Bekämpfung des Vandalismus und zur Wahrung der Sicherheit von Personen Videoüber- wachungssysteme einzusetzen. Diesbezüglich unterbreiteten uns die Schweizer- ischen Bundesbahnen ihr Vorhaben, unbegleitete Nahverkehrszüge mit Video- überwachungsanlagen zu versehen.
Bei privatrechtlichen Verkehrsbetrieben gelten grundsätzlich die gleichen Vor- aussetzungen wie bei der Videoüberwachung im Privatbereich (vgl. Ausfüh- rungen auf S. 64 über Videoüberwachung im Privatbereich). Erfolgt die Video- überwachung durch ein Transportunternehmen, das datenschutzrechtlich als Bundesorgan gilt, braucht es zudem eine gesetzliche Grundlage.
Die Videoüberwachung im öffentlichen Verkehr darf grundsätzlich nur für die Erhöhung der Sicherheit von Personen sowie zur Bekämpfung des Vandalismus vorgenommen werden. Zudem muss die Videoüberwachung im öffentlichen Verkehr nötig und geeignet sein, den verfolgten Zweck zu erreichen. Sie ist un- zulässig, wenn der Zweck durch eine mildere Massnahme erreicht werden kann. Im Übrigen müssen die betroffenen Personen auf die Videoüberwachung mittels sichtbaren Hinweisschildern – z. B. bei der Tür – orientiert werden. Sind die aufgenommenen Bilder mit einer Datensammlung verbunden, muss auf diesen Schildern angegeben sein, bei wem das Auskunftsrecht geltend gemacht werden kann, falls sich dies nicht aus den Umständen ergibt. Angemessene technische und organisatorische Massnahmen müssen getroffen werden, um die abgespei- cherten Daten vor dem Zugriff von unbefugten Dritten zu schützen. Die Video- kamera muss zudem so aufgestellt werden, dass nur die für den verfolgten Zweck absolut notwendigen Bilder in ihrem Aufnahmefeld erscheinen. Die Aufnahmen dürfen nur für den verfolgten Zweck verwendet werden. Ferner sind die Aufnahmen, die sich nicht auf einen Vorfall beziehen, spätestens nach 24 Stunden zu vernichten.
Sind alle diese Voraussetzungen erfüllt, ist der Einsatz von Videoüber- wachungssystemen datenschutzrechtlich zulässig.
68
Wr ;ssryvput Qr rqhr
Qiyvxhv qr hpu vpuryr Fr
Xv uhr v qr r thtrr Ehu r ru hy Bryrtrurv r r Qvv v a hruht v qr hpu vpuryr Wr ;trr r! Xryx vrt qh yrtr vrur hpu $ U>vtxrvir vpu ((& ((' T &% q % U>vtxrvir vpu ((' ((( T !# Xv
r r v yhsrqr Ehu rvtrurq :ir qvr at vssqhyv>r hs rvr v Dr r iyvvr r Gvr qvr 6thir q !% Fr ru>y
Die Eidgenössische Bankenkommission hat aufgrund von Empfehlungen des «Independent Committee of Eminent Persons» entschieden, dass schweizerische Banken die im Zusammenhang mit Holocaust-Opfern bestehenden offenen nachrichtenlosen sowie bestimmte geschlossene Konten publizieren müssen. Die Schweizerische Bankiervereinigung beabsichtigte eine Veröffentlichung der rund 26'000 Konten im Internet. Dabei sollten jeweils Name, Vorname und Wohnsitzland des Kontoinhabers sowie ein Hinweis über den Zustand des Kontos und allenfalls dessen Betragshöhe publiziert werden. Die Schweizer- ische Bankiervereinigung wollte vom EDSB wissen, welche datenschutz- rechtlichen Erfordernisse dabei zu beachten seien. Die mit der Durchführung beauftragten amerikanischen Stellen verlangten, dass die gesamte Liste mit allen 26'000 Konten im Internet veröffentlicht wird und dass die Liste voll- ständig kopiert werden kann, um den Betroffenen einen möglichst einfachen und offenen Zugang zu ermöglichen.
Auch bei einer Publikation im Internet gelten die allgemeinen Grundsätze der schweizerischen Datenschutzgesetzgebung. Die Veröffentlichung der Liste mit allen 26'000 nachrichtenlosen Konten verstösst gegen den im Datenschutz äusserst wichtigen Grundsatz der Verhältnismässigkeit. Eine Abfrage im Internet sollte demnach nur einzelfallweise auf Namen und Vornamen hin er- folgen. In Bezug auf die praktischen Probleme und Risiken von verschiedenen Namensschreibweisen haben wir angeregt, die Suchkriterien hinsichtlich Or- thographie und Phonologie von Namen und Vornamen zu verbessern. Ausser- dem schlugen wir vor, dass für bestimmte Organisationen ein erweiterter Zu- griff (mit Passwortschutz) geschaffen werde. Personen, die über keinen Inter- netzugang verfügen oder Schwierigkeiten haben, Internet zu benützen, können sich bei der Suche an diese Organisationen wenden. Zudem kann die voll- ständige Liste in Papierform an diese Organisationen abgegeben werden, um die geforderte volle Einsichtnahme in die gesamte Liste zu ermöglichen.
Die Schweizerische Bankiervereinigung hat die Bearbeitung und Publikation der Daten einer Treuhandgesellschaft übertragen. Wir haben die Schweizerische
69 Bankiervereinigung darauf hingewiesen, dass sie als Inhaberin der Daten- sammlung weiterhin die Verantwortung dafür trägt, dass bei der Datenbe- arbeitung und -publikation die schweizerische Datenschutzgesetzgebung ein- gehalten wird.
$ 7rxhthir Qr rqhr
$ PyvrWr rvpuvr 7qrhtrryyr 6qv 9v rp Qiyvp
D Dr rarvhyr irx qr ur x;yvpur C@vqt Thhxhyrqr D v 7pus rv ryrx vpur Qrqh D Tvr rvr hh rr q i: tr s rqyvpur Wr hyt yyr Ds hvr :ir qvr 7qriru; qr q vu r Hvh irvr rvshpur q hpur yvr t>tyvpu trhpu r qr 9hirv vq wrqpu qvr 9hrpu irvtr Tpu qr 7r ssrr rvuhyr
Bei der Publikation von Personendaten im bundesinternen Intranet oder im weltweiten Internet handelt es sich um eine Bekanntgabe im Abrufverfahren, für die ein Bundesorgan nach Datenschutzgesetz eine gesetzliche Grundlage benötigt. Eine Grundlage für die Herausgabe von Verzeichnissen zur Erleich- terung der Kommunikation unter den Mitarbeitern der Bundesverwaltung ist in der Organisationsverordnung der Bundeskanzlei enthalten. Insbesondere für die elektronische Publikation von Verzeichnissen können folgende Daten aller An- gestellten iqrvr zugänglich gemacht werden: Name, Vorname, Funktion, Titel, Anrede, Amtssprache, Telefon-, Fax- und Pagernummer, Post- und E-Mail-Adresse, verwendete Kommunikationsprotokolle und Teile von Verschlüsselungsinformationen. Solche Online-Verzeichnisse existieren bereits seit einigen Jahren im Bundes-Intranet.
Für die vorgesehenen r hytrr r elektronischen Verzeichnisse (z.B. Projekt: «Admin Directory Public» des Bundesamtes für Informatik und Tele- kommunikation) muss der Zugang auf die obengenannten Personendaten der- jenigen Mitarbeiter beschränkt bleiben, die als «Ansprechpartner gegenüber Dritten gelten». Diese Einschränkung ist in der Organisationsverordnung der Bundeskanzlei festgeschrieben. Sie folgt den Datenschutzprinzipien der Zweckbindung und der Verhältnismässigkeit.
Wesentlich ist, dass die Dienststellen des Bundes über die Risiken einer Internetpublikation (Abrufbarkeit auch in Ländern mit geringen oder gar keinen Datenschutzbestimmungen, einfache Verknüpfbarkeit mit weiteren Daten-
70 beständen, fehlende Datensicherheit) informiert werden. Bundesweit sind einheitliche Kriterien bei der Beurteilung, ob eine Person als Ansprechpartnerin gegenüber Dritten anzusehen ist, anzuwenden.
Die bisherigen Kontakte mit den entsprechenden Stellen der Bundeskanzlei und des Bundesamtes für Informatik und Telekommunikation stimmen uns zu- versichtlich, dass in dieser Sache eine Lösung gefunden wird, die einerseits die Interessen der Kommunikationspartner des Bundes und andererseits den Daten- schutz der Mitarbeiter des Bundes optimal abdeckt.
% 9hrpu q rpuyvpur Shurirqvttr
% @Br r q Hvqrhs qr tr s: qr Tpu qr Q vhu> r
9vr 8ir 6qvv hv v q s: qr 7: tr ihyq Srhyv> rv Vr qr 7rt vss @Br r vq shrqr Q wrxr vr Bvpur v ry q @Wvt v @rur Hv qvrr hr qryvpur rpuytvpur Cr hs qr t ryy vpu hir hpu r pu> s qvr A htr hpu qr Tpu qr Q vhu> r ah irru qr Chrpx qr v ryyr 6puhyr v qr Ds hv qr 7: tr qpu r qr Fvxhv q U hhxvr hyyr irv qr ryrx vpur Tvhithir rur A: qr @ syt qr @Br r v q qh Wr hr qr 7: tr v qvr 8ir 6qvv hv hpuyhttrirq rv 9hur :r qvrr hivv;r Q wrxr uvvpuyvpu qr Xhu t 9hrpu q vpur urv v tr 7rvvry htrur 6r qr yyr vr vhvr Urpuytvr s; qr qvr rvr vr irr r Tpu qr Q vhu> r tr>u yrvr
Die Bundeskanzlei leitet im Bereich des E-Government zwei Schlüsselprojekte, nämlich die Schaffung eines Guichet virtuel (virtueller Amtsschalter) und die Einführung des E-Voting, d.h. der elektronischen Stimmabgabe. Die im Juni 2000 eingesetzte Arbeitsgruppe Guichet virtuel wurde mit der Beurteilung von Projekten virtueller Amtsschalter in der Schweiz und im Ausland beauftragt. Darüber hinaus wurde im Dezember 2000 die Vereinbarung über die Zusam- menarbeit von Bund und Kantonen bezüglich Aufbau eines Guichet virtuel un- terzeichnet.
Der Erfolg des anschliessenden Projektes E-Voting wird grösstenteils von der Qualität und Funktionstüchtigkeit des virtuellen Amtschalters abhängen. Daher
71 sind bereits jetzt die bestmöglichen Voraussetzungen für den Datenschutz zu schaffen.
Ziel des virtuellen Amtsschalters ist die Entwicklung und Umsetzung einer Internetplattform, die einen einfachen und empirischen Zugang zu den Dienst- leistungen der Verwaltungsbehörden von Bund, Kantonen und Gemeinden bietet sowie Links zu den Informationen von Kantonen und Gemeinden her- stellt. Der Zugang erfolgt themenbezogen (Auto, Steuern, Geburt, Heirat, Scheidung, Ruhestand usw.). Nach einer kurzen Einführung wird der Benutzer direkt zu den Internet-Seiten der jeweils zuständigen Dienststellen des Bundes, der Kantone oder der Gemeinden geleitet.
Die Projektentwickler sollten unbedingt baldmöglichst eine Datenschutzpolitik festlegen und folgende Fragen klären:
Der rechtliche Rahmen für den virtuellen Amtsschalter ist sorgfältig auszuar- beiten (Gesetze, Verordnungen, Richtlinien, Vereinbarungen und Verträge). Zur Schaffung des geeigneten Rahmens ist sowohl die bestehende Datenschutzge- setzgebung als auch der innovative Charakter des Projektes zu berücksichtigen (dazu gehören ebenfalls neue juristische Begriffe wie z.B. elektronische Zertifi- zierung und digitale Signatur). Als wichtigste Partner des Projektes werden Kantone und Gemeinden ausserdem durch die Weiterentwicklung der Internet- Technologie unausweichlich mit dem Zentralisierungseffekt konfrontiert. Die Schwierigkeit dieses Unterfangens ist nicht zu unterschätzen. Nur mit einem klaren rechtlichen Rahmen lässt sich die eventuelle Umverteilung von Zustän- digkeiten früh genug in Angriff nehmen. Diese Fragen sollten unserer Auffas- sung nach in einem formellen Gesetz geregelt werden.
Die wichtigsten technischen Optionen müssen in einem Bearbeitungsreglement festgehalten werden. Dies wird von der Verordnung zum Bundesgesetz über den Datenschutz verlangt und legt die Planung und die wichtigsten technischen und organisatorischen Aspekte fest. Das Reglement ist zu Beginn des Projektes auszuarbeiten und anschliessend regelmässig zu aktualisieren. HERMES, das
72 vom Bundesamt für Informatik und Telekommunikation (BIT) entwickelte Verwaltungsinstrument für elektronische Projekte des Bundes bietet eine nützli- che Grundlage für ein solches Bearbeitungsreglement.
Angesichts der Tragweite des Prozesses wäre ein Ausbildungsmodul mit Schwerpunkt Datenschutz angebracht, das sämtliche Beteiligten an dem Projekt zu jedem Zeitpunkt und zu jedem Entwicklungsstadium für diese Fragen sensi- bilisiert.
Der virtuelle Amtsschalter dient sowohl zur «Information» (an wen wendet man sich und wann, um sich über diverse Alltagsfragen zu erkundigen usw.) als auch zur «Kommunikation» bzw. «Transaktion» (Austausch von Verwaltungsfor- mularen, Zahlungen, Ausstellung diverser Bescheinigungen usw.). Im ersten Fall gilt es vor allem, Fragen zur Verfolgbarkeit zu klären (Personalisierung mittels IP-Nummer, Cookies, Erstellung von Profilen, Aufbewahrung der Da- ten, usw.). Im zweiten Fall stellen sich neben der Verfolgbarkeit auch Fragen zur Vertraulichkeit, Integrität und Authentifizierung der Vorgänge.
Bei der Einführung von E-Government ist vor allem folgenden allgemeinen Datenschutzgrundsätzen Rechnung zu tragen:
73
%! 7rx>st qr Tpuh h irv
9vr Wr rt Pyvratht >yvpur uhqrr 9hrhytr qr Wr tyrvpu 9hrhytr Wr hytqhr Trr Tvhyr vpur tr 6y>qr yvrv q 6yiru; qr tr> qr hyytrrvr 9hrput q >r r sytr 9 pu rvr shrqr Hhhur vr qvr Wr rt r qr huy rvpur irqr pu:rr r 9hr q pu 6i sr shu r t>tyvpu trhpu h q pu rv s ryyr Brr hq :pxyvpu trrur rv
Der Bundesrat beauftragte eine Arbeitsgruppe, die rechtliche und technische Machbarkeit der Vernetzung von administrativen Daten der Steuer, der Sozial- versicherungen (AHV, IV und Arbeitslosenversicherung), der Ausländerpolizei und der Asylbehörden zu untersuchen. Ziel dieser Massnahme ist es, diese Verwaltungsdaten den für die Ermittlung von Fällen der Schwarzarbeit verant- wortlichen Überwachungsorganen zugänglich zu machen. Unter Vernetzung versteht man die Möglichkeit, einerseits über ein Abrufverfahren auf die in ver- schiedenen Datensammlungen enthaltenen Informationen zuzugreifen und an- dererseits die in allen Registern enthaltenen Daten systematisch zu vergleichen. Im Rahmen dieses Auftrages haben wir erneut daran erinnert, dass jede Bear- beitung von Personendaten im Einklang mit den allgemeinen Grundsätzen des Datenschutzes zu erfolgen hat.
Ob die Bearbeitung von Personendaten dem Verhältnismässigkeitsprinzip ent- sprach, lässt sich in einem zweistufigen Verfahren überprüfen. Zunächst ist festzustellen, ob die zu bearbeitenden Personendaten notwendig und geeignet sind, das gewünschte Ziel zu erreichen. In diesem Falle geht es um die Be- kämpfung der Schwarzarbeit. Wie die Arbeitsgruppe feststellte, sind die ver- fügbaren Daten aufgrund ihres Inhaltes und zeitlichen Ursprungs kaum zu ver- gleichen. Darüber hinaus liefern die in den untersuchten Datenbanken enthal- tenen Daten keine stichhaltigen Angaben zur Aufdeckung von Schwarzarbeit. Der zweite Schritt besteht in der Abwägung der vorhandenen Interessen, d.h. Ziel der Bearbeitung, insbesondere erwartete Ergebnisse vs. Persönlichkeits- verletzung der betroffenen Personen. Bei einer allgemeinen Vernetzung muss man sich darüber bewusst sein, dass eine Fülle von Personendaten über einen Grossteil der in der Schweiz wohnhaften Bevölkerung bearbeitet würde und die
74 Datensicherheit damit stärker gefährdet wäre. Die Bearbeitung von besonders schützenswerten Personendaten und von Persönlichkeitsprofilen würde durch mehrere Kantons- und Bundesorgane erfolgen. Diese Daten dürfen nur bear- beitet bzw. durch ein Abrufverfahren zugänglich gemacht werden, wenn ein formelles Gesetz es ausdrücklich vorsieht. In den Rechtsgrundlagen sind der Zweck und der ungefähre Umfang der Bearbeitung, die an der Bearbeitung be- teiligten Organe sowie die Kategorien der bearbeiteten Daten festzuhalten. Ent- sprechende Änderungen werden in der Sozialversicherungs-, Steuer- und Aus- ländergesetzgebung notwendig sein.
Die Arbeitsgruppe kam zu dem Schluss, dass eine Gesamtvernetzung der beste- henden Datensammlungen die Bekämpfung der Schwarzarbeit nicht wesentlich verbessern würde und dass die geplanten Datenbearbeitungen in keinem Ver- hältnis zum gesteckten Ziel stehen. Die Arbeitsgruppe schlug daher vor, die Vernetzung auf die Sozialversicherungen zu beschränken (Vergleich der Daten der Arbeitslosenversicherung mit jenen der AHV). In unserer Eigenschaft als Beratungsorgan werden wir die Entwicklung dieses Vorhabens weiter verfolgen und uns zur Anpassung bereits bestehender oder zur Schaffung neuer einschlä- giger Gesetzesvorschriften im Rahmen der jeweiligen Vernehmlassungsverfah- ren äussern.
& 9hrpu q 9hrvpur urv
& 8uvss vr hyt vur qvr urr hy vpur r hpur r qr x;r
Tvpur r 8uvss vr r shu r i 6yt vur yyr r ;ssryvpu rv U hh r tr>u yrvr 9hv v hpu vpur trryy qh F rr r qvr r ;ssr yvpur Wr shu r rr x;r Tr vpur 6yt vur v rvr Tpuy:ryy>tr !' 7v q hr vpur v rvr Tpuy:ryy>tr !# i !#' 7v r hpur qr @vqt 9hrpuirhs htr urr hy vpur
Der Eidg. Datenschutzbeauftragte wird immer wieder angefragt, welche Chif- frieralgorithmen er als sicher erachtet. Grundsätzlich muss dabei festgehalten werden, dass es von Vorteil ist, wenn der Chiffrieralgorithmus veröffentlicht wurde. Dadurch sind andere Chiffrierexperten in der Lage, diese Algorithmen zu testen und auf mögliche Schwachstellen hinzuweisen, und es besteht somit eine möglichst grosse Transparenz. Es existieren sicher auch gute, nicht veröf- fentlichte Algorithmen. Man muss sich aber dabei die Frage stellen, warum diese Algorithmen nicht veröffentlicht werden und warum man keine Transpa- renz will. Bei nicht veröffentlichten Algorithmen kann die Gefahr bestehen,
75 dass gewisse «Hintertüren» eingebaut sind. Dies würde es dann beispielsweise anderen Organen oder Stellen ermöglichen, die chiffrierten Daten zu entschlüsseln. Als sicher bei den symmetrischen Verschlüsselungsverfahren erachtet man heute veröffentlichte Algorithmen mit einer Schlüssellänge von mindestens 90 Bit wie z.B. der IDEA-Algorithmus (International Data Encryption Algorithm), der eine Schlüssellänge von 128 Bit aufweist oder der Triple-DES-Algorithmus (Data Encryption Standard). Bei asymmetrischen Ver- fahren wie beispielsweise beim RSA-Algorithmus (Rivest, Shamir, Adleman) konnte man den 512 Bit Schlüssel 1999 brechen. Man geht heute davon aus, dass eine Schlüssellänge von 1024 Bit als sicher erachtet werden kann. Wir sind allerdings diesbezüglich immer vorsichtig und empfehlen den Anwendern möglichst lange Schlüssel zu verwenden.
&! Tvpur r Qh; r q hqr r 6urvsvvr tr shu r
@v Qh yy rvr G>tr vqrr % irr > r ' qr ru arvpur ir vuhyr 9vrr x;r v rvshpur Cvysvry x rvr q hsirhu r qr qh qh Qh hpu hpu y>tr r 6irrurv vrqr trr vr r qr xh @ v qh hs hpur qh rv r vqvpur Xrpury qr Qh; r irvvryrvr hyyr q rv Hhr r syt @r r r rr qvr Hrvt qh virqr r v rvvr V sryq qvr 6urvsvxhv q pu Xvr Qh rvt vpur v0 r yyr >yvpur Hhhur vr ivr vpur Trr qr 8uvxh r rvtrr r qr
Neben der Benutzeridentifikation (USER-ID) verwendet man heute meistens ein Passwort, um sich beispielsweise bei einem EDV-System anzumelden. Bei der Auswahl des Passworts ist darauf zu achten, dass es mindestens eine Länge von 6-8 Zeichen hat. Heute wird insbesondere in der englischen Sprache auch von Passphrase (Passsatz) gesprochen. Dies weist u.a. darauf hin, dass man aus Sicherheitsgründen nicht nur ein «Wort», sondern eine nichtsaussagende Zeichenkombination gebrauchen sollte, die dann eher einer Länge von beispielsweise 8-12 Zeichen entsprechen würde.
Wichtig bei der Auswahl des Passworts ist es, dass keine Wörter wie Namen, Vornamen, Auto-, Telefonnummern sowie Zeichenkombinationen aufgeführt werden, wie sie etwa in Wörterbüchern aufgeführt sind. Wenn man nun noch die Buchstaben mit Zahlen und Sonderzeichen wie %, & durchmischt, so ent- steht ein gutes Passwort. Dieses wird man kaum mit den aus dem Internet frei herunterladbaren «Hackertools» ausfindig machen können.
Eine der wichtigsten Sorgen der Benutzer ist das mögliche Vergessen des Pass- worts. Durch langzeitigen Nichtgebrauch von Wissen (z. B. bei Ferienabwe-
76 senheit) kann das am Arbeitsplatz täglich eingesetzte Passwort verloren gehen. Deshalb möchte man das Passwort irgendwo aufschreiben. Man will ja schliesslich nicht diejenige Person sein, die immer wieder den System-Admini- strator anrufen muss, damit dieser ein neues Passwort kreiert. Grundsätzlich dürfen Passwörter weder an einem frei zugänglichen Ort noch im Klartext fest- gehalten werden. Es sind die folgenden Lösungen denkbar: Wir schreiben uns einen oder mehrere Sätze auf einen Zettel, die jedoch keinen Bezug zu einem EDV-System haben dürfen. Nun wählen wir einen Satz, der auf dem Zettel fest- gehalten ist und kreieren daraus unser Passwort. Als Schlüssel halten wir bei- spielsweise fest (ohne diesen aber auf dem Zettel zu notieren), dass wir die bei- den letzten Buchstaben der jeweiligen Worte des Satzes als Passwort verwen- den wollen. Dieses ergänzen wir dann noch durch Sonderzeichen und halten zwei Buchstaben in grosser Schrift fest.
7rvvry: (festgehaltener Satz) ⇒ Geste war lustvt draussr ⇒ Passwort = vtr Dieses ergänzen wir noch durch Sonderzeichen P vtrQ und halten die beiden mittleren Buchstaben in Grossschrift fest P TDtrQ
Eine andere Möglichkeit besteht darin, dass man eine Karte mit beliebigen Zei- chen kreiert, aufgrund derer man auch ein Passwort mit Hilfe eines Schlüssels bzw. von Auswahlkriterien erstellt. Bsp.: !"#$%&'( h i u v a @ 4 Q x 0 ! 8 C D D & u A s w " R 7 D G C ' G 9
$ C I I F F y t J K % a D ( C G i & & X % K A u 7 & " W ' B B F 4 x J 5 6 ( ' u H P F ( R & ! y F
Man merkt sich beispielsweise die Zahl 45 und kreiert aufgrund der Tabelle das Passwort, indem man von der obigen 4 der Tabelle bis zur 5 runter die Zeichen aneinander reiht und dann nach rechts (links/diagonal) weiter die Zeichen fest- hält, bis man beispielsweise 8 Zeichen für das Passwort zusammengestellt hat ⇒ Qh 2 vDStFF usw.
Die Aufbewahrung dieser Sätze oder der Karte kann z. B. in der Brieftasche er- folgen. Sollte allenfalls die Brieftasche einmal gestohlen werden, so sind die Passwörter sofort zu ändern und neue Karten oder Sätze zu erstellen.
77
Einige wenige Passwörter können mit dem obigen Vorgehen verwaltet werden. Bei mehreren Passwörtern ist es sinnvoll, ein Werkzeug einzusetzen, welches die unterschiedlichen Benutzeridentifikationen und Passwörter verwaltet (beispielsweise Single Sign On Systeme).
Ein Passwort soll periodisch geändert werden (in etwa alle drei Monate); dabei ist darauf zu achten, dass nicht wieder das alte Passwort verwendet werden darf.
Einige Experten weisen immer wieder darauf hin, dass ein Passwort selbst, wel- ches eine Authentifikation durch Wissen ermöglicht, insbesondere im sensitiven Umfeld zuwenig sicher ist. In diesem Umfeld ist (zusätzlich) der Einsatz von Biometrischen Systemen (Authentifikation durch Eigenschaften der Person) oder von Chipkarten (Authentifikation durch Besitz) vorzusehen. Das nachfolgende Thema enthält auch Informationen zur Biometrie.
&" atht Ds hvxrr vry ivr vpur 6urvsvvr t
9vr v 6s ht qr @9T7 rvr Dtrvr puyr q putrs:u r Tqvr rvt qh 6urvsvvr trr hs qr B qyhtr Avtr hiq :pxr urr ir rv rpu vpu rv rvpxry vq q q puh qvr xyhvpur 6urvsvvr t q pu Qh ; r r rr x;r 6yyr qvt irrur pu rvvtr Tvpur urv>try irv qr Dr t hv v 7r vrirr 9vrr Fvqr x hxurvr q: sr hpu hixyvtr qh qvr rr ivr vpur 6urvsvvr trr s: qvr huyyr ryrx vpur 9vryrvtr hs qr Hh x qvr rvvtr Csst hs A pu v v Thpur a thtvpur urv qh ryyr
Mit zunehmender Informatisierung unserer Gesellschaft muss sich jeder Ein- zelne eine beeindruckende Anzahl Passwörter, persönlicher Identifikations- nummern (PIN: Personal Identification Number) und anderer magischer For- meln merken. Zur Vorbeugung gegen den Missbrauch durch Personen, die sich die Sicherheitsdaten unrechtmässig beschafft haben, müssen manche Codes au- sserdem regelmässig geändert werden. Angesichts dieser anspruchsvollen Auf- gabe neigt der Benutzer verhängnisvollerweise zur Vereinfachung und/oder Vereinheitlichung seiner Zugangscodes. Zuweilen notiert er sie gar auf einem Zettel in der Nähe der dazugehörenden Dienstleistung (Passwort unter der Ta- statur, PIN auf der Kreditkarte...). Da die Zugangssicherheit der betreffenden Dienste durch dieses Verhalten bedauerlicherweise erheblich beeinträchtigt wird, ist nach überzeugenden Lösungsansätzen zu suchen. Die Verwendung von
78 in einer verschlüsselten Datenbank stellt gegenüber dem Zettel mit notierten Codes bereits einen grossen Fortschritt dar. Ebenso lässt sich der geheime Be- reich des Personal Digital Assistant verwenden, den man im Prinzip immer bei sich trägt.
Dennoch handelt es sich in der Regel um einfache Codes, die in direktem Zu- sammenhang mit dem Inhaber, seinem Umfeld oder seinen Gewohnheiten ste- hen und somit von übelwollenden Dritten leicht herauszufinden sind. Diesbe- züglich stellt die biometrische Authentifizierung einen erheblichen Fortschritt dar, da sie statt mit einem auswendig gelernten und wiederzugebenden Code mit einem vom Benutzer untrennbaren äusserlichen Merkmal operiert. Die grosse Anzahl verfügbarer äusserlicher Merkmale setzt eine ebenso grosse Vielfalt an komplexen und zuverlässigen Erkennungssystemen voraus. Am häufigsten werden für die biometrische Authetifizierung folgende Körpermerkmale einge- setzt: Fingerabdruck, Stimmenklang, Morphologie der Hand, des Gesichtes oder des Ohrs, Muster der Iris oder der Netzhaut, Aussehen und/oder Dynamik der Unterschrift, Dynamik der Tastenberührung, Blutzusammensetzung, Kör- pergeruch.
Der Benutzer bevorzugt verständlicherweise Systeme, auf die seine körperliche oder seelische Verfassung keinen Einfluss hat, die keinen Körperkontakt ver- langen und hinsichtlich des Datenschutzes keine Gefahren mit sich bringen. Auch stossen manche Systeme instiktiv auf Ablehnung: Der Fingerabdruck wird mit der Polizei in Verbindung gebracht, das Muster der Iris oder der Netz- haut enthält indirekt Informationen über den Gesundheitszustand der authentifi- zierten Person. Dem zugrunde liegt natürlich immer die Befürchtung des Miss- brauchs der persönlichen Merkmale zu unzulässigen Zwecken.
Die biometrischen Authentifizierungssysteme verwandeln das analysierte Kör- permerkmal in eine für den Vergleich wesentlich geeignetere Schablone (Tem- plate). Auch gibt es keine absolute biometrische Authentifizierungsmethode, da die Erkennung durch eine auf der Wahrscheinlichkeit beruhende Überein- stimmung zwischen der analysierten Schablone und den Refenzschablonen der Datenbank erfolgt. Bei jeder Methode wird daher immer ein gewisser Prozent- satz irrtümlich angenommen (Vertraulichkeit und Integrität sind gefährdet) bzw. abgelehnt (Verfügbarkeit und Zuverlässigkeit sind gefährdet). Dies hängt von der Differenzierbarkeit, der Reproduzierbarkeit und der Beständigkeit der ge- wählten Körpermerkmale ab, aber auch von externen Faktoren wie Ausrü- stungskosten und Grad der Benutzerakzeptanz.
Sieht man vom zuletzt genannten Kriterium ab, ist die Authentifizierung über Fingerabdrücke ohne Zweifel die Methode mit dem besten Preis-Leistungs- Verhältnis, wie es auch das in die Höhe schnellende Angebot dieser Produkte belegt. Die Abbildung des Fingerabdrucks wird in eine Schablone aus einzigar-
79 tigen Merkmalen (minutien) eines Fingerabdrucks verwandelt, d.h für jeden Fingerabdruck einzigartige und unverwechselbare Punkte (Endungen, Verbin- dungen, Windungen, Schlaufen, Spiralen...). Um die Zuverlässigkeit des Sy- stems zu steigern, wird der Durchschnitt mehrerer Abbildungen desselben Fin- gerabdrucks als Schablone gespeichert, die wiederum oft sogar durch Scha- blonen der Abdrücke anderer Finger des Benutzers ergänzt wird. Fälschungssi- chere, wärme- und feuchtigkeitsempflindliche Erkennungsgeräte schliessen den Betrug durch Auflegen einer Abbildung aus. Vorstellbar wäre theoretisch der Missbrauch des Systems durch Auflegen einer Art Kunsthaut, in die ein dem Opfer unbemerkt abgenommener Fingerabdruck eingraviert wurde. Allerdings steht der Aufwand eines solchen Unterfangens womöglich in keinem Verhältnis zum erhofften Gewinn.
Die Verwandlung des Fingerabdrucks in eine Schablone stellt einen unumkehr- baren Vorgang dar und schliesst somit die Gefahr der Rekonstruktion des Fin- gerabdrucks anhand der Schablone aus. Da es ausserdem für die Verwandlung bis heute kein standardisiertes Verfahren gibt, besteht nahezu kein Risiko, dass anhand übereinstimmender Schablonen eine Verbindung zwischen Datenban- ken, die eigentlich unabhängig bleiben sollten, hergestellt wird. Um diese Un- abhängigkeit und somit das Pseudonym des Benutzers zu gewährleisten, müssen entweder für jede Dienstleistung andere äussere Merkmale verwendet oder aber alle Datenbanken mit Schablonen bzw. Fingerabdrücken einzeln verschlüsselt werden.
Die von uns in Auftrag gegebene Studie konzentrierte sich auf Authentifizie- rungssysteme mit Fingerabdruck-Erkennungsgeräten, die in die Maus, in die Tastatur oder ein anderes zweckbestimmtes Endgerät integriert sind. Während die Erhebung und Erkennung des Fingerabdrucks kaum Schwierigkeiten berei- tete, stellte sich die Integration der Software in die Sicherheitsebene des Be- triebssystems in vielerlei Hinsicht als enttäuschend heraus. Die Schablonen- Datenbank muss unbedingt mit der Datenbank für die Passwörter der identifi- zierten Personen verknüpft werden (z.B. SAM-Datenbank von Windows NT). In einem Fall gelang zwar die Verbindung durch Kopieren der Passwörter, mit dem Ergebnis allerdings, dass diese anschliessend in der Schablonen-Datenbank unverschlüsselt und editierbar erschienen! Dieser Mangel ist umso bedau- erlicher, als die automatische Identifizierung (Benutzername braucht nicht mehr eingegeben werden) und der Einsatz von Fingerabdrücken als Chiffrier-Schlüs- sel für besonders schützenswerte persönliche Dateien zahlreiche Vorteile boten. In einem anderen Fall bestand zwar eine klare Trennung zwischen beiden Da- tenbanken, doch konnte der Benutzer nach Herstellung der Verbindung die Schablonen anderer Personen durch seine eigene ersetzen und sich dadurch mit der Identität und sämtlichen Privilegien der betrogenen Person Zugang zum System verschaffen. Einzig die Fingerabdruckerkennung mittels zweckbe- stimmtem Endgerät erlaubte eine sichere und zuverlässige Identifizierung ver-
80 bunden mit der automatischen Benutzererkennung. Ein Angriff auf die Übertra- gungsleitung (hier ein USB) zwischen dem Periphäriegerät und dem Computer blieb aufgrund der dynamischen Codierung der übertragenen Fingerabdrücke ohne Erfolg. Zu dem Erkennungsgerät gehört ausserdem eine Software-Erweite- rung für NT-Server, mit der die Passwörter vollständig durch die aus den per- sönlichen Fingerabdrücken abgeleiteten Schablonen ersetzt werden können. Die zentrale Verwaltung der Schablonen erlaubt die Mobilität (Roaming) der Be- nutzer, da sie an jedem mit einem geeigneten Erkennungsgerät ausgestatteten Arbeitsterminal authentifiziert und identifiziert werden können. Zu der in die Maus integrierten Fingerabdruckerkennung muss leider gesagt werden, dass keines der beiden geprüften Modelle die funktionalen und ergonomischen Ei- genschaften aufwies (keine Kugel, zu kurzes Kabel, mangelhafter Tastenkon- takt), die man heute von diesen Zeigegeräten erwarten kann. Die Tastaturen werden diesbezüglich weniger kritisiert, da ihre Ergonomie quasi standardisiert und die Qualität der wichtigsten Funktion - nämlich Tippkomfort - nur selten zu beanstanden ist. Abschliessend zeigte die Studie, dass die Authentifizierung mittels Fingerab- druck heute durchaus machbar ist. Sie bietet gegenüber der Authentifizierung mittels Passwort sowohl in Bezug auf Benutzerfreundlichkeit als auch auf Si- cherheit unbestreitbare Vorteile, vorausgesetzt, dass letztere umfassend ga- rantiert wird. Eine generelle Verbreitung biometrischer Authentifizierungs- systeme wird zweifelsohne zu niedrigeren Preisen und vor allem zur Verbes- serung von Datensicherheit und Datenschutz führen.
&# Q xyyvr t ryhvhyr 9hr) arpxivqt Tpu 6 puv vr t q Wr vput
Trv ru r r Ehu rur uhir v qr Xry qr 9hrihxr qvr ryhvhyr T rr qvr W ur puhs 9vr Q xyyvr t qr 7rh irvt qvrr 9hr ir rvr vpu r pu>rqr rpuvpur q thvh vpur Tpuvr vtxrvr ryi r vr h tr B qr trpuvru By:pxyvpur rvr r yhir r qvr v ryhvhyr T rr tryvrsr r Thqh qr xrtr qvrr Tpuvr vtxrvr hs s vrqrryyrqr Xrvr irurir Q xyyvr t9hr vq
r pu:rr r 9hr qr r Wr hyvpuxrv q Drt v> q pu rvr xu> rr 6 puvvr t q Wr vput yvvx th hvr r v
In relationalen Datenbanksystemen (weiter unten SGBDR) verwendet die Sprache ISO/SQL (International Standards Organisation, Structured Query Language) den altbekannten Suchbefehl «SELECT FROM WHERE» sowie die Befehle «INSERT, UPDATE, DELETE» zur Ergänzung, Änderung respektive Löschung der Daten in einer relationalen Tabelle. Die Protokollierung besteht
81 im Wesentlichen darin, für jeden Vorgang die Informationen «Who did What, When» in einer zusätzlichen Tabelle zu speichern, die im Idealfall in einer un- abhängigen eigens zu diesem Zweck geführten Datenbank abgelegt ist. Um die Protokollierungstabellen unter Wahrung der Anonymität analysieren zu können, empfiehlt es sich, die Identifizierungsdaten («Who») in verschlüsselter Form zu speichern.
Zur Protokollierung der Datenabfrage muss die Anwendung eine Paraphierung durch Eintrag in dem entsprechenden Protokoll für jeden Lesevorgang aus- drücklich vorsehen. Dieser Sachzwang verlangt die Abklärung des Zwecks des Unterfangens, insbesondere da die Anzahl der täglichen Lesevorgänge mancher Tabellen beeindruckend hoch sein kann.
Zur Protokollierung von Aktualisierungen hingegen erlaubt es der SQL-Stan- dard, «TRIGGERS» zu definieren. Dabei handelt es sich um kleine Hilfsan- wendungen zur Aktualisierung, die vor oder nach der Ausführung einer Haupt- aktualisierung gestartet werden. Dazu ist lediglich in den betreffenden Tabellen ein TRIGGER für jeden der drei Aktualisierungsbefehle festzulegen [Beispiel: CREATE TRIGGER tr_client_up FOR client AFTER UPDATE AS INSERT INTO log_client SELECT Who, When, ClientNum, PhoneNum... FROM Inserted;], damit die SGBDR automatisch eine von der Anwendung völlig un- abhängige Protokollierung vornimmt.
Hinsichtlich der Zugriffsberechtigung zu den Protokollierungstabellen (SQL: GRANT) muss das Hinzufügen von Einträgen natürlich sämtlichen Benutzern offenstehen (SQL: Public), jede spätere Änderung jedoch strengstens verboten sein. Die Verantwortlichen der Datensicherheit hingegen müssen die Mög- lichkeit haben, die Protokolle einzusehen und nach ihrer regelmässigen Über- tragung auf Archivierungsdatenträger zu löschen. Auch die Archivierungs- datenträger sind schliesslich zu vernichten, sobald die maximal vorgeschriebene Aufbewahrungsfrist verstrichen ist.
Wie bei jeder Vernichtung besonders schützenswerter Daten ist das logische Löschen durch marktübliche Vernichtungs-Tools einer physischen Entsorgung vorzuziehen. Für herkömmliche Dateien können Vernichtungs-Tools (file wiping tools) eingesetzt werden, die durch mehrfaches Überschreiben vorgehen. Bei relationalen Datenbanken ist die physische Vernichtung eines Tabellenin- halts aufgrund der automatischen Speicherplatzverwaltung weitaus kompli- zierter. Manchmal muss die Datenbank reorganisiert, komprimiert oder neu ge- laden werden, es sei denn, der Befehl DELETE verfügt über eine systemdefi- nierte Option zur physischen Zerstörung der Daten.
Es ist festzustellen, dass die Managementsysteme von relationalen Datenbanken sämtliche Funktionen zu einer unkomplizierten, autonomen und teilweise von
82 der Anwendung unabhängigen Protokollierung der ausgeführten Bearbeitungen bieten. Diese Systeme erlauben es ebenfalls, den Zugriff auf Informationen im Einklang mit den datenschutzrechtlichen Anforderungen abzusichern. Zusam- men mit einer seriösen Archivierungs- und vor allem Datenvernichtungspolitik gestaltet sich die Protokollierung von relationalen Daten weniger kompliziert und gefährlich, als auf den ersten Blick erscheinen mag.
&$ @9T7Pssvpr) @v hitrvpur r Brpu>ss:u tr
Ihpu :ir rvr Ehu @ shu t v qr vr r Qiyvp Fr Ds h p r yvrsr qr @9T7 rvvtr @ xrvr :ir qvr Hhpuih xrv @vs:u t q Xrvr rvpxyt rvr ypur Tr 9vr @ trivr v 7rt hs Tvpur urv Grvts>uvtxrv q 7rr s rqyvpuxrv rvtr qh v qr urvtr Urpuytvr rvr
r vpur r Vtrit trpuhssr r qr xh qvr qr u;pur 6s qr tr r r 9hr putrrr tr rpu v q
Angesichts der Inkompatibilität unseres ehemaligen Systems mit dem Jahr 2000 und mit der erklärten Absicht, die Machbarkeit eines Systems mit Verschlüsse- lung sämtlicher Arbeitsdokumente zu beweisen, hat der EDSB die Entwicklung einer spezifischen Windows-Anwendung in Auftrag gegeben, die auf der «Office Suite» und einem marktüblichen Managementsystem für relationale Datenbanken basieren sollte. Innerhalb einer heute gängigen Client-Server- Konfiguration erfolgt die Chiffrierung und Dechiffrierung für jeden Client mit Hilfe einer ad-hoc-Software, die sich inzwischen de facto als Standard für die Bearbeitung verschlüsselter E-Mail durchgesetzt hat. Dies erlaubt eine unver- letzbare Übertragung besonders schützenswerter Dokumente und Datenfelder zwischen Clients und Datenbankserver, wo sie zum Schutz vor Angriffen auf dieser Ebene verschlüsselt gespeichert werden (Eindringen, Sicherheits- kopien...). Für die Ausgabe von Daten an einen Netzdrucker gelten ähnliche Schutzmassnahmen, wobei spezielle Druckerserver die Datenflüsse unmittelbar vor dem eigentlichen Druckvorgang entschlüsseln. Dennoch ist für besonders schützenswerte Dokumente natürlich ein direkt an die Arbeitsstation des Ver- fassers angeschlossener Drucker vorzuziehen. Erfahrungsgemäss geschieht die Chiffrierung und Dechiffrierung von Doku- menten, die bis zu mehrere Dutzend Seiten umfassen, in zufriedenstellenden Reaktionszeiten. Nebenbei wird Platz gespart, da die Chiffrierung automatisch zur Komprimierung der Dateien führt. In einer Public Key Infrastructure (PKI) stellte die Verwaltung der Schlüssel einen wesentlichen Aspekt des Projektes dar. Die asymmetrischen Schlüssel (Schlüsselpaar bestehend aus öffentlichem und privatem Schlüssel) werden von den Benutzern selbst hergestellt, um jeg- liche unrechtmässige Kopie besonders kritischer Daten zu vermeiden. Auf-
83 bewahrt werden die Schlüssel – paradoxerweise – auf einer gewöhnlichen Dis- kette, die zwar keinen schnellen Zugriff, aber dafür wegen ihrer Mobilität eine absolute Sicherheitsgarantie zu äusserst geringen Kosten bietet (Laufwerk stan- dardmässig eingebaut und extrem kostengünstiger Datenträger). Natürlich wären auch andere schnellere, verlässlichere und/oder kompaktere, aber auch teurere mobile Datenträger für die Speicherung der Schlüsselbunde (Keyrings) denkbar.
Besonders wichtig ist der Pass-Satz (Passphrase), der den privaten Teil des Schlüssels schützt. Er muss eine gewisse Komplexität besitzen (Länge, Unver- ständlichkeit, Sonderzeichen...), um gegen eventuelle Angriffe durch Interes- sierte resistent zu sein. Der öffentliche Teil des Schlüssels kann und soll, wie sein Name sagt, ungehindert an jeden exportiert und übertragen werden können, der ein Dokument verfassen möchte, das anschliessend nur vom Inhaber des entsprechenden privaten Schlüssels gelesen werden kann. In einem Umfeld, in dem sich die beteiligten Personen kennen und häufig sehen, kann der öffent- liche Schlüssel einfach auf Diskette weitergegeben werden, ohne dass eine au- ssenstehende Zertifizierungsbehörde (CA: Certification Authority) hinzugezo- gen werden muss.
Nachdem der Benutzer den zu seinem privaten Schlüssel gehörenden Pass-Satz eingegeben hat, kann er die Anwendung starten, um all seine persönlichen Do- kumente zu bearbeiten und sämtliche mit dem Gruppenschlüssel (Standard- modus) chiffrierten Dokumente zu lesen. Neben dem individuellen und dem Gruppenschlüssel kennt das Programm die Chiffrierung jedes Dokumentes mit einem zusätzlichen Dechiffrierungs-Schlüssel (ADK: Additional Decryption Key). Dieser dient dazu, die gespeicherten Dokumente unter allen Umständen lesen zu können, selbst wenn wegen Verlust, Vergessen, Beschädigung o.ä. die üblichen zur Dechiffrierung notwendigen Elemente nicht zur Verfügung stehen. Diese Funktion ist den Direktionsmitgliedern vorbehalten und wird somit von den Systemverwaltern nicht kontrolliert. Bedauerlicherweise ist eine derartige Aufgabentrennung im Bereich der Datenverwaltung eher die Ausnahme. Neben der Dokumentenverschlüsselung bietet das System eine weitere bemer- kenswerte Funktion: die Möglichkeit, Dokumente aufgrund einer logischen Kombination von Stichwörtern zu suchen (auch Volltextsuche genannt). Zur Vereinfachung der Indexierung und vor allem zur Beschleunigung des Such- vorgangs wurde für die vier Arbeitssprachen (Deutsch, Französisch, Italienisch und Englisch) eine Liste von «unwichtigen» Wörtern erstellt. Das Ergebnis ist beeindruckend: In nur wenigen Sekunden erscheint eine Liste der mit den Suchkriterien übereinstimmenden Dokumenten.
Die Anwendung erlaubt ausserdem das unabhängige Arbeiten mit produktiven oder fiktiven Daten. Damit vermeidet man den unnötigen Zugriff auf produktive Daten bei Vorführungen für Dritte oder Testläufen neuer Software-Versionen.
84 Die fiktive Datenbank bietet darüber hinaus für neue Mitarbeiter den Vorteil, sich ohne Risiko mit der Anwendung vertraut zu machen. Hinsichtlich der Software-Versionen unterscheiden wir zwischen der Beseitigung von Funkti- onsstörungen, die so schnell wie möglich vorgenommen werden muss, und der Verbesserung der Funktionen, die eine jährliche oder halbjährliche Planung, Beurteilung und Umsetzung verlangt. Auf diese Weise ist eine wirksame Wei- terentwicklung - unter Wahrung der für eine derartige Anwendung unabdingba- ren Stabilität - möglich.
Die gewählte Verschlüsselungs-Software erlaubt es ausserdem jedem Benutzer, verschlüsselte E-Mails zu verschicken und sich mit Hilfe einer persönlichen Firewall oder einem Angrifferkennungssystem gegen Cyber-Angriffe zu schützen. In Kombination mit einen Anti-Virus-Programm, dessen Definitions- dateien regelmässig aktualisiert werden, bietet das System ein angemessenes Schutzniveau gegen die Gefahren, denen ein Arbeitsterminal mit Internet-An- schluss ausgesetzt ist.
Schliesslich bietet das Geschäftsführungsprogramm zusätzliche Basisfunk- tionen für die Weiterleitung von Dokumenten (Workflow), die Arbeitsplanung und das Projektmanagement sowie für die Protokollierung sämtlicher Les- und Schreibvorgänge.
&% Vrt qr 9hrvpur urv v qr 7qrr hyt
9vr 9hrvpur urv ir rv v qr Qyhtuhr rvr Q wrx W qvr Fr ir :pxvpuvt r qr 9vr Qyht q Srhyvvr t Q wrxr uh v qr 7qrr hyt hpu qr C@SH@TChqipu r sytr qrr W thir hir vpu vr rvtruhyr r qr 9hq pu rshyyr vryr W rvyr qvr rv ypur Q wrx rhyvvr tThqh q v vpu i vtr : qr Urvy h qvr 9hrvpur urv v qvr q rv 7r rvpur Wr hyvpuxrv Wr s:tih xrv q Drt v> hs xh h sr ryyr qh qvr Wr s:tih xrv v qr 7qrr hyt rpu t hitrqrpx v 7rv qr Wr hyvpuxrv q qr Drt v> vq hir pu rvvtr Hhhur r t rvsr qhv rvr htrrrr 9hrvpur urv htrvrr r qr xh
Die Umsetzung der Datensicherheit beginnt schon bei der Planung des Infor- mations- bzw. Informatik-Systems. Für die Führung und Abwicklung von Informatikprojekten in der Bundesverwaltung muss bzw. sollte das HERMES- Handbuch verwendet werden. Dieses Handbuch ist als Standard für die Führung von Projekten einzusetzen. Ziele von Standards können wie folgt umschrieben werden:
85
Einem Bericht an den Bundesrat entnehmen wir, dass die Kosten für die Infor- matiksicherheit schwer auszuweisen seien. Dies liege vor allem daran, dass die Sicherheitskosten kaum getrennt von den normalen Informatikkosten verbucht werden könnten. Wir sind zwar ebenfalls der Meinung, dass die Kosten für die Informatiksicherheit überall in einem EDV-System oder Informatik-Projekt auftreten können, dennoch müsste unseres Erachtens schwergewichtig fest- gelegt werden, in welche Sicherheitsbereiche investiert wurde. Die Feststellung, dass ca. 6% der Ausgaben in der Informatik auf Datensicherheitsmassnahmen entfallen, ist wenig aussagekräftig. Es besteht keine Transparenz, welche Ämter bzw. Departemente in welche Bereiche der Datensicherheit investiert haben. Beim Nachfassen unsererseits wurden wir im Jahre 1999 immer wieder auf die Jahr 2000 Problematik verwiesen. Wir gehen deshalb davon aus, dass diese Mittel insbesondere für die Analyse der bestehenden Systeme und Anwendungen sowie einen unterbruchsfreien Berieb beim Jahreswechsel einge- setzt wurden. Es wurden uns in der vergangenen Zeit auch nur wenige EDV- Projekte unterbreitet. Projekte, die sich schwergewichtig mit Datensicherheitsanliegen auseinander setzen, haben wir keine erhalten.
Ein Teilbereich der Datensicherheit ist die Aufrechterhaltung des System- betriebs - der Verfügbarkeit der Informatiksysteme und -anwendungen. Die dazu notwendigen Massnahmen wie z. B. die Anschaffung von Cluster-, RAID5-, Shadowing-Systemen im Host- bzw. Serverbereich sollten finanziell nicht mehr den Informatiksicherheitskosten belastet werden, weil solche Sy- steme schon fast zur Grundausstattung gehören. Die Nichtverfügbarkeit von Systemen wird in den betroffenen Organisationseinheiten sehr rasch erkannt. Aus diesem Grunde sind die Datensicherheitsmassnahmen in diesem Bereich recht gut umgesetzt. Nachholbedarf besteht aber nach wie vor bei den Aspekten
86 der Datenintegrität und der Vertraulichkeit. Insbesondere in diesem Bereich müssen transparente Steuerungselemente wie beispielsweise die Anmeldung von EDV-Projekten gemäss der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) oder finanzielle Mittel ein- bzw. durchgesetzt werden, um die Informatiksicherheit zu erhöhen.
Diverse Kontrollen haben in den vergangenen Monaten aufgezeigt, dass im Umfeld der Datensicherheit nach wie vor erheblicher Handlungsbedarf besteht; ohne die notwendigen Ressourcen (Personal, finanzielle Mittel) sehen wir auch zukünftig keine grosse Verbesserung der Situation. Einen anderen möglichen Lösungsansatz sehen wir darin, den Kontrollorganen bessere Sanktionsmöglich- keiten zur Verfügung zu stellen.
DDD DIU@SI6UDPI6G@T
@ h h
6 irvr qr 8EQ9) 9hrpu v Wr vpur trr q v qr Wvqr:ir hput
9vr Q wrxt r s: qr 9hrpu 8EQ9 htr ( iv " Pxir ! Tvr puy qvr 6 irvr v Wr vpur tir rvpu hi q rr vpu rvr v qr 7r rvpu qr Ds hvrpuytvr @ v qr Tpur x hs qr ir hput @ h rvhqr
Nach der Verabschiedung eines Empfehlungsentwurfs über den Schutz von Per- sonendaten, die zu Versicherungszwecken erhoben und bearbeitet werden (siehe 7. Tätigkeitsbericht1999/2000, S. 88), beendete die CJPD auch den dazu- gehörenden Begleitbericht. Das Gesamtpaket dürfte im Jahr 2001 vom Mini- sterkomitee des Europarates angenommen werden.
Die CJPD befasste sich zudem mit einem Sachverständigenbericht über den Schutz des Privatlebens im Zusammenhang mit der Überwachung ( http://www.coe.fr/dataprotection) und beschloss, einen Katalog von Leitgrund- sätzen zum Schutz der Personen bei der Datenbeschaffung und -bearbeitung per Videoüberwachung auszuarbeiten (siehe auch zum Thema Videoüberwachung S. 64). Ausgehend von der Feststellung, dass immer mehr öffentliche und pri- vate Stellen zur Kontrolle des Personen- und Warenverkehrs, des Zugangs zu Privatliegenschaften oder mancher Demonstrationen Überwachungssysteme
87 einsetzen, befürwortete die CJPD die Festlegung von Leitgrundsätzen. Die Grundsätze sollen die Garantien für betroffene Personen beim Einsatz tech- nischer Videoüberwachungs-Installationen hinsichtlich Beobachten sowie Be- schaffen und Speichern von Personendaten (vor allem Verhalten, Bewegungen und Kommunikation einer oder mehrerer Personen) erweitern und klären. Gemäss den Vorschlägen des von der CJPD beauftragten Sachverständigen setzen Überwachungstätigkeiten Folgendes voraus:
Die CJPD prüfte ausserdem den Entwurf des Übereinkommens über Krimina- lität im Cyberspace und verabschiedete eine Stellungnahme, in der sie die Be- deutung des Datenschutzes unterstrich und forderte, zumindest einen Verweis auf das Übereinkommen Nr. 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen Nr. 108) in den Konventionsentwurf aufzunehmen. Ausserdem betonte sie, dass
88 das Übereinkommen 108 einen festen Bestandteil der Normen bildet, welche das «acquis» (Rechtsbestand) des Europarats ausmachten. Schliesslich begann die CJPD mit der Untersuchung eines Empfehlungsentwurfs über den Zugang zu amtlichen Dokumenten.
6 irvr qr UQ9) ah xyy Wr htxyhry q @hyh v qr ir rvxr '
9r 7r hrqr 6pu qr ir rvxr ' UQ9 uvry % iv ' Ev ! rvr % Uhtt hi 9r 6pu hu qvr $ 6 vy ! qhvr r Tryyt hur I ! & ! qr Qh yhrh vpur Wr hyt ah xyy qr ir rvxr ' ir rssrq 6svpuiru; qr q t r:ir pu rvrqr 9hr :ir vytr Frv u)prs qhh rpv q irrqrr qvr 6 irvr h Ur qr ah xyy 9hrir irshr r vpu rvr v qr Wr ht xyhry q irth hyyr qr Cvr t q qr rpuytvpur @vpx ytr v qr @hyhv qr ir rvxr '
Der Beratende Ausschuss prüfte insbesondere, ob der Protokollentwurf ver- ändert werden solle, um die Vorschläge der Parlamentarischen Versammlung aufzunehmen (siehe auch 7. Tätigkeitsbericht 1999/2000, S. 88). Zwar betonte er den positiven Beitrag der Stellungnahme der Parlamentarischen Ver- sammlung, vor allem weil darin der Stellenwert des Datenschutzes im Zeitalter des Internets und der Informationsgesellschaft hervorgehoben wird, griff aber die Vorschläge im Protokollentwurf nicht ausdrücklich auf. Er befolgte die zu Beginn der Arbeiten festgelegte Linie, die darin bestand, sich an Geist und Buchstaben des Übereinkommens 108 zu halten und einen Text zu verfassen, der sich auf die wesentlichen Elemente beschränkt. In diesem Sinn wurden be- stimmte Vorschläge der Parlamentarischen Versammlung im erläuternden Be- richt übernommen; andere sollen später geprüft werden.
Das Zusatzprotokoll dürfte demnächst vom Ministerkomitee angenommen und den Mitgliedsstaaten zur Unterzeichnung freigegeben werden. Die Schweiz hat an der Ausarbeitung aktiv mitgewirkt und sollte in der Lage sein, es rasch zu ratifizieren. Zu untersuchen ist der Veränderungsbedarf des DSG (siehe dazu das Thema über die Modernisierung des Datenschutzes, S. 56); es geht darum, die Kompetenzen der Kontrollbehörden und die Systeme der grenzüber- schreitenden Datenflüsse zu Empfängern, die keinem gleichwertigen Daten- schutzsystem unterstellt sind, zu klären und auszuführen. Eine rasche Ratifi- zierung liegt vor allem aufgrund des Informationsaustausches mit der Euro- päischen Union im Interesse der Schweiz. Sobald die fünfzehn Mitgliedstaaten das Protokoll unterzeichnet haben, könnte die Europäische Union womöglich
89 ihre Haltung gegenüber den Vertragsparteien des Übereinkommens 108, die dem Protokoll fernbleiben, überdenken.
Ausserdem beschloss der Beratende Ausschuss, das Übereinkommen 108 an- gesichts der Entwicklungen in den zwanzig Jahren seit der Annahme und an- gesichts der neuen Informationstechnologien zu evaluieren. Der Ausschuss wird gestützt auf diese Evaluation entscheiden, ob eine Änderung des Überein- kommens 108 ins Auge gefasst werden muss. Eine allfällige Veränderung darf in keinem Fall die grundlegenden Prinzipien des Datenschutzes in Frage stellen. Dagegen könnten mit Blick auf die Stärkung des Datenschutzes auf interna- tionaler Ebene die Befugnisse des Ausschusses überarbeitet werden.
Ferner befasste sich der Beratende Ausschuss weiter mit der Untersuchung der Vertragsklauseln in bezug auf grenzüberschreitende Datenströme zu Emp- fängern in Staaten, welche das Übereinkommen 108 nicht ratifiziert haben. Auf der Basis des Sachverständigenberichts (http://www.coe.fr/dataprotection ) hat er eine Reihe von Empfehlungen zu erarbeiten, die anlässlich der 17. Tagung verabschiedet werden dürften.
@ s rvr Q xyy :ir trrvpur Vr putr irv Hrpur
@vr 6 irvt r qr @ h hr v qh h rv Q xyy :ir trrvpur Vr putr irv Hrpur hh irvr Hv qr Q xyy yy wrtyvpur 9vx vvvr t rvr Qr rtr vu r @ itr r ht r qr D qr 7r vpur vqr qr h qvr hyytrrvr 7rvtr qr Q xyy qvxvr Dirqr r tvt r qr Brytir rvpu qr Q xyy q qvr trrvpur 7r ht @v rvr r Uurh h qvr @vvyyvtt v qvr Wr rqt trrpuvpur Ds hvr
Die Arbeitsgruppe hat zum Ziel, ein Zusatzprotokoll zum Übereinkommen des Europarates über Menschenrechte und Biomedizin (Konvention von Oviedo) auszuarbeiten. Die vierte und fünfte Tagung der Arbeitsgruppe fand vom 5. bis 7. April und vom 17. bis 19. Oktober 2000 statt.
Der Geltungsbereich des Protokolls soll sich nicht nur auf den Gesundheits- bereich, sondern auch auf den Arbeits- und Versicherungsbereich erstrecken. Was die Gliederung des Protokolls im Detail betrifft, verweisen wir auf unseren letzten Tätigkeitsbericht (siehe 7. Tätigkeitsbericht 1999/2000, S. 89-90). Ob und inwiefern genetische Daten im Arbeits- und Versicherungsbereich bear- beitet werden dürfen, wurde noch nicht diskutiert. Aus unserer Sicht ist jedoch die Bearbeitung von genetischen Daten im Arbeits- und Versicherungsbereich
90 grundsätzlich zu untersagen. Denn eine Diskriminierung aufgrund des Erbgutes ist gerade hier nicht auszuschliessen.
Ebenfalls wurde das Thema der genetischen Beratung behandelt. Die betroffene Person muss vorher und umfassend über die Verwendung der genetischen Daten informiert werden. Dazu gehören u.a. Informationen über Zweck, Art und Aus- sagekraft der Untersuchung. Zudem müssen allfällige Risiken, die mit der Un- tersuchung verbunden sind, der betroffenen Person bekannt sein. Zum informa- tionellen Selbstbestimmungsrecht gehört auch das Recht auf Nichtwissen. Dies sind nur einige Kriterien, die zur genetischen Beratung gehören. Eine umfas- sende Aufklärung ist auch nötig, damit die betroffene Person die Tragweite der Einwilligung erkennen kann. Eine solche Einwilligung in die Verwendung der genetischen Daten hat freiwillig zu erfolgen und muss jederzeit widerrufbar sein. Ob die Bearbeitung und vor allem die Konsequenzen der gentechnischen Untersuchungen den Betroffenen überhaupt jemals transparent gemacht werden können, bleibt jedoch fraglich.
Weitere Themen der Arbeitsgruppe waren genetische Untersuchungen, die sy- stematisch angeboten werden (Reihenuntersuchungen), Forschung und Genthe- rapien.
! 7rvrutr @ >vpur Vv
6r xrt rvr htrrrr 9hrpuvrh s: qvr Tpurv
Die Kommission der Europäischen Gemeinschaften stellte in der Entscheidung vom 26. Juli 2000 (siehe Anhang S. 109) fest, dass die Schweiz über einen an- gemessenen Schutz von Personendaten verfügt (siehe auch 7. Tätigkeitsbericht, 1999/2000, S. 92).
" Dr hvhyr Fsr r qr 7rhs htr s: qr 9hrpu
9vr YYDD Dr hvhyr Fsr r qr 9hrpuirhs htr shq !' iv " Trrir ! v Wrrqvt h 6 qr Fsr r irrvyvtr vpu qvr 9hrpu irhs htr ryrv !$ Thhr Srtvr trr r Wr rr vr hvhyr P thvhvr qr Dq vr qr Ds hvx qr A put q qr Xvrpuhs 9vr Fsr r r hipuvrqrr rvr @ xy> t v rypur vr qvr Irqvtxrv tr
91 rvhr Q vvvr q Thqh q v 9hrpu
hyyr htrvpu qr hpu rqr Syyr qr Urpuytvr v qr 9hrir h irvt qr rvtrqr 7rr huyr q qr Wr qvput qr Ds hvhhpur hs ryrvr @irr
ir x >svtr 6r qr
r r qvr Fsr r 7r tv h qr rvpurqr 9hr puirvtr v @ s qr ir rvxr qr @ h hr :ir qvr F v vhyv> v 8ir hpr
Die Konferenz legte den Schwerpunkt auf die Notwendigkeit eines universellen Schutzes des Privatlebens im globalen Umfeld: «One World, One Privacy» (www.garanteprivacy.it ). Zur Frage stand die Zweckmässigkeit einer univer- sellen Datenschutzkonvention. In diesem Rahmen wurde betont, dass die grundlegenden Prinzipien des Übereinkommens 108 einen universellen Gel- tungsanspruch besässen und dass dieses Übereinkommen insbesondere auch Staaten, die nicht Mitglieder des Europarates sind, zum Beitritt offen stehe. Die Konferenz setzte sich eingehend mit den Risiken und den Vorteilen der Infor- mationstechnologien auseinander und bewertete auf der Basis konkreter Pro- jekte die Fortschritte im Sektor der datenschutzfreundlichen Technologien. Die Sachverständigen befassten sich in verschiedenen Workshops mit den Grenzen von Vertragsklauseln im Rahmen der grenzüberschreitenden Datenflüsse. Ferner erörterten sie die Themen Genetikdaten, Videoüberwachung, Chipkarten und globale Dienstleistungen und behandelten die Frage des Schutzes des Pri- vatlebens und der Medien sowie die elektronische Transparenz. Untersucht wurde auch das Problem des Datenschutzes im Bereich der Zusammenarbeit zwischen Gerichten und Polizei. Schliesslich äusserte die Konferenz ihre Be- sorgnis angesichts der Banalisierung der Privatsphäre, vor allem durch Sen- dungen wie «Big Brother», welche das wesentliche Konzept des Privatlebens unterhöhlen. Solche Trends erschweren in einer exhibitionistischen Gesellschaft die Achtung des Rechts auf Privatsphäre.
@ >vpur Fsr r qr 7rhs htr s: qr 9hrpu
9vr @ >vpur 9hrpuirhs htr r hryr vpu h % q & 6 vy ! A :uwhu rxsr r v Tpxuy Xv hur hy 7rihpur qh h rvy 9vr Fsr r r hipuvrqrr rvr @ xy> t :ir qvr Trvpur t Wr xru qhr q pu Dr r Tr vpr Q vqr 6r qr
r r vr 7rqrxr h qr q urqr Trvpur t q rhvpur 6sirhu t Wr xru qhr hqr r arpxr hy qr Srputryyt hyyr qvr 9hr qr T hsr sytt iru; qr t>tyvpu hpur Xvr qvr Fsr r irr uhqry r vpu irv rvr ypur 6sirhu t rvr Wr yrt qr B q rpur0 qvrr rvr ssr
92 vpuyvpur 7rq: sv r rpur q qvr 9hrr rqt v Brr tr rtry rv 9vr 9hr yyr x vr ;tyvpu hsirhu r qr
Die Konferenz setzte sich im Lichte der nationalen Erfahrungen mit der Frage der Bearbeitung genetischer und medizinischer Daten auseinander. In Deutschland beispielsweise wurde eine Neuerung in das Gesundheitssystem eingeführt, welche den Informationsfluss zwischen Pflegeeinrichtungen und Krankenversicherungskassen regelt. In diesem System werden anstelle der Identitätsdaten Pseudonyme verwendet. Die genaue Identität kann ohne die Ein- schaltung des «Trustcenter» nicht offenbart werden. Anschliessend befasste sich die Konferenz mit der Überwachungstätigkeit der nationalen Kontroll- behörden und mit den Klageverfahren. Ferner wurde über gemeinsame Um- fragen Spaniens und der Niederlande bei Internet Service Providern berichtet; Frankreich präsentierte eine Studie zur Privatsphäre-Politik der auf den E- Commerce spezialisierten Dienstleistungsanbieter. Die Zusammenarbeit unter nationalen Datenschutzbehörden muss offensichtlich noch verstärkt werden. Ausserdem sind Normen zur Kontrolldurchführung und zur Förderung des Austausches unter den Kontrollbehörden zu ergreifen. Die Konferenz befasste sich mit der Frage, welches Recht bei Streitigkeiten im Rahmen der Bearbeitung von Personendaten im Internet anwendbar sei. Dazu sollte ein integrierter euro- päischer Ansatz über den Schutz von Online-Daten eingeführt werden (siehe http://europa.eu.int/comm/internal_market/de/media/dataprot/wpdocs/index.htm). Wichtig ist auch, die Gestaltung von Informatikmaterial und Software mit datenschutzkonformer Verwendung zu fördern. Frankreich schlug die Einführung eines europäisches Datenschutz-Labels vor; es könnte an alle Sites vergeben werden, die sich verpflichten, Internet-Benutzer über ihre Rechte zu unterrichten und die in der europäischen Richtlinie verankerten Garantien umzusetzen. Denkbar wäre auch die Schaffung einer europäischen Kontrollbehörde, welche die von den Berufsorganisationen ausgestellten Labels prüft (siehe dazu auch S. 19). Schliesslich zog die Konferenz Bilanz zum Stand der Umsetzung der europäischen Richtlinie in den Mitgliedsstaaten. Der Vertreter der Europäischen Kommission unterstrich nachdrücklich die Bedeutung des Harmonisierungsziels; wie er betonte, legt die Richtlinie klare Voraussetzungen fest, die den nationalen Gesetzgebungen nur einen beschränkten Handlungsspielraum belassen. Die Kommission wird die Lage untersuchen und überprüfen, ob die Zielsetzung der Freizügigkeit unter den Mitgliedsstaaten erreicht wurde und ob die nationalen Gesetzgebungen nach wie vor Unterschiede aufweisen.
93 $ P@89
6 irvt r :ir qvr Ds hvvpur urv q Tpu qr Q vhu> r XDTQ
9vr 6 irvt r uh vpu v r thtrr Brpu>swhu v qr Avhyvvr t qr Br r h s: qvr hhvvr r @ ryyt 9hrirh irvtr xy> tr v Dr r irpu>svt 9hrir pur vr hpu G;tr vr v qr axs qvr Q vh u> r v Dr r irr trpu: r qr xh q hu qvr 6xhyvvr t qr D rh r :ir 6urvsvvr tr shu r q F t hsvr h qvr Chq Tpuyvryvpu rpuvrq vr v qr 6 irvt r :ir Brrvx hrh irvr
Der Generator für die automatisierte Erstellung von Datenbearbeitungser- klärungen im Internet wurde finalisiert und über das Internet allen interessierten Kreisen zur Verfügung gestellt (http://cs3-hq.oecd.org/scripts/ pwv3/pwhome.htm). Ein direkter Link ist auf der Seite des EDSB in der Rubrik «News and Links» zu finden. Mit Hilfe des Generators können nun Dienstlei- stungsanbieter im Internet einfacher eine Datenbearbeitungserklärung – eine sogenannte «Privacy Policy» – verfassen und so insbesondere die Bearbeitung von Kundendaten transparent gestalten (detaillierte Informationen zum Gene- rator finden sich auch im 7. Tätigkeitsbericht, 1999/2000, S. 95).
Angesichts des noch mangelnden Vertrauens der Benutzer und Konsumenten in den E-Commerce hat die Arbeitsgruppe konkrete Massnahmen zur Vertrauens- bildung vorgeschlagen. So wurde beschlossen, ein Inventar von allen techni- schen Mitteln, die die Privatsphäre im Internet schützen, zu erstellen. Gleich- zeitig entschied sich die Arbeitsgruppe für die Organisierung einer Konferenz über alternative Streitbeilegungsmechanismen im E-Commerce. Die Konferenz fand am 11. und 12. Dezember 2000 in Den Haag statt (Einzelheiten zur Kon- ferenz sind auf S. 94 zu finden).
In den Bereichen Authentifizierungsverfahren und Kryptografie entschied die Arbeitsgruppe, die bestehenden Inventare zu aktualisieren, um diese den aktu- ellen Entwicklungen anzupassen. Erwähnenswert ist, dass eine starke Locke- rung der Exportkontrollen für Kryptografieprodukte zu verzeichnen ist. Sowohl die USA als auch Frankreich haben den Marktzugang zu Kryptoprodukten stark liberalisiert. Allerdings möchte Frankreich weiterhin an Lösungen arbeiten, die den Zugang und Zugriff von Ermittlungsbehörden auf chiffrierte Dokumente gewährleisten. Im französischen Parlament wird an einem Kryptografiegesetz gearbeitet, das den Zugriff von Ermittlungsbehörden regelt. Die Idee besteht darin, dass es als Indiz zu Lasten des Beschuldigten betrachtet wird, wenn dieser in einem Verfahren den Text oder den Schlüssel nicht herausgibt.
94
Wir werden diese Entwicklung aufmerksam verfolgen, um zu sehen, ob nebst dem durch einen Untersuchungsrichter gewährten Zugriff – was der schweize- rischen Praxis entspricht – auch polizeiliche Behörden ohne richterlichen Ent- scheid Zugriff erhalten.
Verhaltensregeln, die als Alternative zu Gesetzen für den Schutz der Privat- sphäre gelten, werden von der Arbeitsgruppe gesammelt und ausgewertet. Ziel ist deren Wirksamkeit genauer zu analysieren. Wir haben allerdings festge- halten, dass Verhaltensregeln keine Alternative zu gesetzlichen Bestimmungen sind, wenn sie die Privatsphäre nicht wirksam schützen können (siehe dazu auch 6. Tätigkeitsbericht 1998/1999, S. 128). Verhaltensregeln können jedoch in bestimmten Branchen dazu beitragen, gesetzliche Verpflichtungen trans- parenter umzusetzen.
Die Bedeutung der Bearbeitung von genetischen Daten im Zusammenhang mit dem Schutz der Privatsphäre wurde erkannt. Deshalb entschied die Arbeits- gruppe, sich intensiv auch mit dieser Thematik zu befassen um dabei mit der dafür verantwortlichen Arbeitsgruppe zusammenzuarbeiten.
6 ! 9rrir ! shq v 9r Chht rvr Fsr r qr P@89 :ir Hrpuh vr T rvirvyrtt vpur Vr rur q Frr v Vsryq PyvrU hhxvr h X>u rq qr Fsr r qr r puvrqrr Hqryyr 7rvyrtt Fsyvxr q T rvvtxrvr v qr r rr Xry trryy @ qr r xh qh trrvhr F vr vr rqvt vq qvr PyvrT rvirvyrtt ryrv rssrxv trhyr 9hs: i hpu r rvr trrvhr Qyvvx qvr vry rvr rssrxvr q tr rpur PyvrT rvirvyrtt qh Wr hr qr Frr v qr @8r pr rvtr yy
Da die heutigen nationalen Gesetze und Regulierungen für Online-Streitig- keiten in der Regel die Grenze ihrer Effektivität an der Staatsgrenze finden, müssen Lösungen gesucht werden, die globale beziehungsweise internationale Wirksamkeit entwickeln können. Es wurde erkannt, dass E-Commerce-Trans- aktionen das Vertrauern der Konsumenten noch nicht haben, weil insbesondere keine globalen Systeme für die internationale Beilegung von Streitigkeiten exi- stieren. Auch beim Schutz der Privatsphäre stellt sich die gleiche Problematik, denn es fehlen auch hier weitgehend internationale Kriterien, insbesondere für die Beilegung von Streitigkeiten bei Verletzungen der Privatsphäre. Hinzu
95 kommt, dass die rapide Vermehrung von Verhaltensregeln im E-Commerce für Verwirrung sorgen und dementsprechend auch das Vertrauen der Konsumenten beeinflussen.
Im Hinblick auf die weltweite Stärkung des Vertrauens der Konsumenten in den E-Commerce ist es deshalb wichtig, dass Konfliktlösungsmechanismen an die unterschiedlichen kulturellen Aspekte und an die Bedürfnisse der Konsumenten angepasst werden. Zudem sind auch die verschiedenen Rechtssysteme zu be- rücksichtigen. Es wird jedoch nicht möglich sein, die verschiedenen Rechts- systeme und -kulturen unter einen weltweit gemeinsamen Nenner zu bringen. Deshalb ist es um so wichtiger, Brücken zwischen den verschiedenen Systemen zu bauen, damit Konsumenten und Unternehmen, wie bei traditionellen Handel- stransaktionen, die Möglichkeit haben, Streitigkeiten sinnvoll und effektiv bei- legen zu können.
Ein wichtiger Aspekt, der aber oft übersehen wird, ist die Sprache. Es muss dafür gesorgt werden, dass die Sprachbarriere die Effizienz der alternativen Streitbeilegung nicht von Vornherein zunichte macht. Deshalb muss gewähr- leistet werden, dass sich Konsumenten in ihrer eigenen Sprache beschweren können. Neben dem sprachlichen Aspekt müssen auch die kulturellen Beson- derheiten und Werte im Streit berücksichtigt werden. Schliesslich müssen auch die Unternehmen, die im Internet Mechanismen zur Online-Streitbeilegung an- bieten, die Konsumenten über die Bedingungen und die Anwendung infor- mieren.
Für den erfolgreichen Einsatz von alternativen Mechanismen zur Online-Streit- beilegung müssen insbesondere folgende Kriterien erfüllt sein:
In der Zukunft soll jedes Unternehmen, das Dienstleistungen über das Internet anbietet, auch online aussergerichtliche Konfliktlösungsmöglichkeiten anbieten. Der Konsument ist klar und transparent über diese Konfliktlösungsmöglichkeit zu informieren. Für diesen Aspekt der Information wird die Lösung des sprach- lichen Problems von entscheidender Bedeutung sein.
96 Unbestritten ist, dass alternative Möglichkeiten zur Online-Konfliktlösung nicht die geltende Rechtsordnung ersetzen werden. Sie bilden lediglich eine Alter- native zur Streitbeilegung, um nicht den beschwerlichen Rechtsweg gehen zu müssen. Anderer Meinung sind Vertreter der US-Wirtschaft, die mittels solcher Streitbeilegungsmechanismen den ordentlichen Rechtsweg gerne ausschliessen würden. Dies würde jedoch auf internationaler Ebene das Vertrauen der Kon- sumenten in den E-Commerce nicht stärken.
Die EU-Kommission hat angekündigt, dass sie Kriterien für die Anerkennung von alternativen Mechanismen zur Online-Streitbeilegung erlassen werde. Das Ziel ist, soweit als möglich den langwierigen ordentlichen Prozessweg zu ver- meiden. Die EU möchte in drei bis vier Jahren software «intelligent agents» entwickeln, die sowohl für den Schutz der Privatsphäre als auch für alternative Konfliktlösungsmechanismen eine Lösungsvariante bilden werden.
Auf jeden Fall darf man nicht aus den Augen verlieren, dass bei Streitigkeiten in der Geschäftswelt der menschliche Kontakt weiterhin eine wichtige Rolle spielt.
% Thsr Ch i Q vv @ @ r Tpu v Tpu qr Q vhu> r v qr VT6
Ihpu t rvw>u vtr Wr uhqytr uhir vpu v Eyv ! qvr @V q qvr VT6 t q>yvpu :ir trrvhr Thqh q s: qr Tpu qr Q vhu> r trrvvt 9vrr 6ixr yy qr 6hpu t r:ir pu rvrqr Ds hvr r ;tyvpur q qr @8r pr r yrvpur Piuy :ir qvrr 6ixr rvvtr vpuvtr 6s qr tr s: qr Tpu qr Q vhu> r vr Ds hv q Xvqr pu rpu qr 7: tr 6rqt svqr v hih r i qvrr 6i xr h>puyvpu qvr r ussr Xv xhxrv rshyr v q
Mit dem Konzept des Safe Harbor (sicherer Hafen) verpflichten sich US-Unter- nehmen selbst, einige europäische Datenschutzanforderungen einzuhalten. Al- lerdings ist das «Einlaufen» im sicheren Hafen freiwillig, d.h. es findet nur auf diese US-Unternehmen Anwendung, die sich in die dafür vom US-Handelsmi- nisterium geschaffene öffentliche Liste, (siehe http://export.gov/safeharbor/ ) eingetragen haben. Dadurch gehen die eingetragenen Unternehmen bindende rechtliche Verpflichtungen ein. Das US-Handelsministerium überwacht die Einhaltung der Prinzipien und es gibt rechtliche Konsequenzen für fehlbare Unternehmen.
97 Europäische Konsumenten haben ein Recht von einem Unternehmen, das sich dem Safe Harbor Prinzip unterworfen hat, zu wissen, ob und an welche Dritte Personendaten übermittelt werden, was dem europäischen Auskunftsrecht gleichkommt. Zudem dürfen sensible Personendaten nur mit ausdrücklichem Einverständnis der Betroffenen an Dritte weitergegeben werden. Die Einhaltung dieser Anforderungen soll jährlich vom Handelsministerium überprüft werden.
Obwohl mit der Einführung der Safe Harbor Prinzipien ein erster Schritt in die richtige Richtung gemacht wurde, bleibt abzuwarten, ob dadurch auch die Pri- vatsphäre effektiv geschützt wird. Festzuhalten ist insbesondere die Tatsache, dass die Prinzipien des Safe Harbor nicht allen europäischen gesetzlichen An- forderungen genügen und lediglich Grundprinzipien wie die Information und die Zustimmung des Betroffenen berücksichtigen. Zudem sind die Prinzipien des Safe Harbor nicht zwingende Bestimmungen. Unternehmen können sich den Prinzipien freiwillig unterwerfen. Bisher haben sich (Stand Jan. 2001) nur ein Dutzend Unternehmen registrieren lassen. Somit haben die Safe Harbor Prinzipien auf die Mehrheit der US-Unternehmen keine Wirkung.
Aus diesen Gründen empfehlen wir schweizerischen Unternehmen bei der Übermittlung von Personendaten in der USA weiterhin auf der Grundlage von Einzelverträgen den Schutz der übermittelten Daten zu gewähren.
& @VSPQPGir rvxr
D Hrvthhpu qr W hrtr s: qvr Wr uhqytr qvr hs qr 6ipuy Fr hvhixr vpur @ y q irvr 9 vhhr hivryr rsvt qh 7qrh s: Qyvrv rv @ yWr rr rvr 7rpu v 7r Xv qr rirshyy qvrr U rssr rvtryhqr 9hirv r vryr v rvr ir iyvpx :ir qvr purvr vpur Brrr q Brsytrurvr v 9hrpu q uir hyyr qvrwrvtr 9hrpuhrxr ur rypur v Cviyvpx hs x:svtr Wr uhqytr pu r pu r qr :r
Das Europäische Polizeiamt Europol wurde durch die im Jahr 1995 von den fünfzehn Mitgliedsstaaten der Europäischen Union abgeschlossene gleich- namige Konvention gegründet. Europol verfolgt das Ziel, die zuständigen Dienststellen der Mitgliedsstaaten effizienter zu gestalten und die Zusammen- arbeit vor allem in der Prävention und Bekämpfung des Terrorismus, im ille- galen Betäubungsmittelhandel und anderen Formen der internationalen Schwer- kriminalität zu verbessern. Zur Erfüllung seiner Aufgaben hat Europol ein In- formationssystem eingerichtet, in das die Polizeidienststellen der Mitglieds-
98 staaten ihre Informationen direkt eingeben. Das Europol-Übereinkommen sieht sehr strenge Vorschriften zur Führung des informatisierten Systems vor. Eine Fülle von Bestimmungen regelt ausserdem den Datenschutz (Schutzniveau, Datenbearbeitung, Zugriffsrechte, Kontrollbehörden, Datensicherheit, ...).
Nach den Informationen des Integrationsbüros und des Bundesamtes für Polizei (BAP) hat der Ministerrat der Europäischen Union im März 2000 eine Ent- scheidung verabschiedet, welche den Europol-Direktor zur Aufnahme von Ver- handlungen zwecks Abschluss von Zusammenarbeitsabkommen mit bestimmten Drittstaaten und -organisationen ermächtigt. Die Entscheidung an sich betrifft im Augenblick nur technische oder strategische Abkommen. Für den Austausch von Personendaten ist ein operatives Abkommen erforderlich, das ein schwer- fälligeres Verfahren voraussetzt: Europol müsste dazu einen Bericht über die Gesetzgebung und Verwaltungspraxis des betroffenen Drittstaates im Daten- schutzbereich erstellen. Die datenschutzrechtlichen Belange spielen in den Ver- handlungen zwischen Europol und Drittstaaten dann auch eine Schlüsselrolle. Beinhaltet die Zusammenarbeit mit einem Drittstaat den Austausch von Perso- nendaten, so ist sie nur dann möglich, wenn die Gesetze und die Praxis des fraglichen Staates den Auflagen des Europol-Übereinkommens sowie der sekundären Gesetzgebung über Datenschutz und -sicherheit genügen.
Im August 2000 empfing das BAP in Bern zwei Vertreter von Europol, die be- auftragt sind, die Lage in der Schweiz zu überprüfen und einen Bericht über die Informatiksysteme des BAP und über den Datenschutz zu verfassen. Wir wurden eingeladen, an der Begegnung teilzunehmen, und erläuterten die ver- schiedenen Kompetenzen, die uns das Bundesgesetz über den Datenschutz erteilt. Ausserdem bezogen wir Stellung zur Angemessenheit der schweize- rischen Gesetzgebung angesichts der von Europol eingeführten Datenschutz- anforderungen.
Wie wir betonten, erfüllt die Schweiz in bezug auf die einzuführenden Geset- zesnormen die von Europol vorgeschriebenen Kriterien. Zu erwähnen ist insbe- sondere die Ratifizierung des Übereinkommens Nr. 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und die Annahme der Empfehlung des Europarates R(87) 15 über die Verwendung von personenbezogenen Daten im Polizeibereich. Ausserdem er- innerten wir an die bereits existierenden Bundes- und Kantonsgesetze über den Datenschutz, an die Einrichtung unabhängiger Datenschutzkontrollstellen auf Bundes- und Kantonsebene, an die Ausarbeitung formalgesetzlicher Vorschrif- ten über die Informatiksysteme der Polizei sowie an die Entscheidung der Kommission der Europäischen Union, welche die schweizerische Datenschutz- gesetzgebung als angemessen anerkannte.
99 Als Kontrollorgan betonten wir indessen, dass wir im Augenblick keine Gewähr für einwandfreie Verhältnisse im Datenschutz geben konnten, zumal wir nicht ausreichend detailliert über die ergriffenen Massnahmen bzw. den Stand der Fortschritte in den Verhandlungen zwischen dem BAP und Europol Bescheid wissen. Tatsächlich gilt es noch zahlreiche praktische Punkte zu prüfen, bei- spielsweise die Informatiksysteme der betroffenen Polizeistellen, die Modali- täten der Ausübung der Zugriffsrechte oder die Kompetenzverteilung unter den Datenschutz-Kontrollstellen.
Wir ersuchten das BAP, uns regelmässig über den Stand und die Fortschritte möglicher Verhandlungen zu unterrichten. Ausserdem wurde vereinbart, dass wir den Vertretern von Europol für sämtliche Fragen zum Datenschutz zur Ver- fügung stehen würden.
' 9hrpu v F
D Shur qr PTa@Hvv v F h rv Hvh irvr qr @9T7 P hy 9hrpuirhs htr >vt 6 Tvpu qr 9hrpur hqr hyyr 9hr vpur urvs htr v W qr t q D Xrryvpur tvt r qh qh qvr Qr r qhr qr r puvrqrr Wyxt r v F vpu v shypur C>qr tr vrr
Sowohl die UNO als auch die OSZE waren im letzten Jahr damit beschäftigt, die Bevölkerung im Kosovo zu registrieren. Dies war vor allem nötig, weil ein Teil der Zivilstandsdaten im Krieg entweder gestohlen oder vernichtet wurde. Die Registrierung der Bevölkerung bildete auch die Grundlage für die im Herbst 2000 stattgefundenen Gemeindewahlen. Die Rechtsnormen der UNO sowie die Europäische Menschenrechtskonvention (EMRK) bildeten die Rechtsgrundlage für die Tätigkeit als Datenschutzbeauftragter im Kosovo.
Aus datenschutzrechtlicher Sicht sind grundsätzlich alle Personendaten im Ko- sovo als besonders schützenswert einzustufen. Denn in aller Regel geben schon Namen klare Hinweise auf die dort lebenden Volksgruppen (Kosovo-Albaner, Serben, Türken etc.). Mit anderen Worten ist bereits eine Adressliste im Kosovo als sensitiv zu bezeichnen.
Insbesondere mussten die Daten der im Kosovo lebenden Minderheiten, die sich registrieren lassen wollten, geschützt werden, denn die Lage zwischen den ein- zelnen Ethnien war und ist immer noch sehr angespannt. Im Vordergrund stand hier, v.a. die geeigneten technischen und organisatorischen Massnahmen zu treffen (Zugriffskontrolle, Zugangskontrolle, Transportkontrolle etc.). Wichtig war, den ganzen Prozess der Registrierung auf allfällige Sicherheitslücken zu
100 untersuchen. Zudem wurden die Mitarbeiter der OSZE und der UNO auf die Sensibilität der Daten aufmerksam gemacht.
Im Rahmen der Registrierung wurden sehr viele Personendaten gesammelt. Ins- besondere verlangte man von jedem Gesuchsteller einen Fingerabdruck, damit eine doppelte Registrierung nicht möglich war. Hier ging es darum, diejenigen Personendaten, welche für den Zweck der Registrierung nicht mehr benötigt wurden, der Vernichtung zuzuführen (Prinzip der Verhältnismässigkeit). Leider wurde dies nicht überall berücksichtigt.
Während der Wahlperiode mussten vor allem die Daten von denjenigen Per- sonen geschützt werden, die in der Regel einer ethnischen Minderheit ange- hörten und an den anstehenden Gemeindewahlen teilnehmen wollten. Diese Leute hatten z. T. Angst, ihre Wahlzettel in einer Wahllokalität abzugeben. Es musste daher ein Prozedere ausgearbeitet werden, damit sie zu Hause wählen konnten.
Schliesslich wurde ein Entwurf für ein Datenschutzgesetz für den ganzen Ko- sovo geschaffen. Der Gesetzesentwurf enthält die wesentlichen europäischen Datenschutzstandards und umfasst die Datenbearbeitung durch die ganze Ver- waltung im Kosovo. Ein Gesetz, welches die Persönlichkeitsrechte der Ein- wohner im Kosovo schützt, ist unabdingbar. Es ist zu hoffen, dass dieses Projekt seine Fortsetzung findet.
101
DW 9@S @D9B@IATTDT8C@ 96U@IT8CVUa7@6VAUS6BU@
Qiyvxhvr qr @9T7 @ Irr purvtr
Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz
Ablaufschema über die Voraussetzungen und den korrekten Verlauf der Internet- und E-Mail-Überwachung am Arbeitsplatz
Merkblatt über die Videoüberwachung durch private Personen
Das Ablaufschema und das Merkblatt sind am Anhang dieses Berichtes zu finden (Seite 113 und 114) und können auch auf der Website www.edsb.ch
konsultiert werden.
Die Infoblätter sind auf der Website (www.edsb.ch ) zu finden.
102 ! Thvvx :ir qvr U>vtxrv qr @vqtr;vpur 9hrpuirhs htr arv h
6 vy ! iv " H> !
Konferenzteilnahmen:
National International 25 18
Anzahl von Sitzungen
Bund Private Kantone Intern 293 115 19 Extern 143 75 29 Total 436 190 48
103
Anzahl der Stellungnahmen
Eingänge Schriftliche Stellungnahmen Empfehlungen des EDSB Keine Einwendungen Zu Gesetzen 67 61 9 Zu Verordnungen 52 42 21 Zu internationalen Vereinbarungen 18 9 6 Anfragen aus dem öffentlichen Bereich:
Bundesorgane 180 136 4 Kantone 61 52 Ausländische Datenschutzbehörden 10 7 Anfragen aus dem privaten Bereich:
Privatpersonen 181 133 2 Banken 22 19 3 Adresshandel/Direktmarketing 129 108 Kreditwesen 16 12 Buchhandel/Publikationen 15 13 EDV - Bereich 6 6 Personalwesen 4 204 Telekommunikation 49 2 Post und Transport 18 18 Versicherungen 82 71 Justiz und Polizeiwesen 91 88 1 Gesundheit 94 80 Mietrecht 9 9 Kundenkarten 21 20 Fahrzeughalterdaten 5 5 1 Umwelt / Bauten 2 2 Vereine 22 16 Steuern 4 4 Zoll 1 1 Total 1159 1118 4 43
6huyqr Tryythur 0 50 100150200250300350 Zu Gesetzen Zu Verordnungen Zu internationalen Vereinbarungen Bundesorgane Kantone Ausländische Datenschutzbehörden Privatpersonen Banken Adresshandel/ Direktmarketing Kreditwesen Buchhandel/ Publikationen EDV - Bereich Personalwesen Telekommunikation Post und Transport Versicherungen Justiz und Polizeiwesen Gesundheit Mietrecht Kundenkarten Fahrzeughalterdaten Umwelt / Bauten Vereine Steuern Zoll
U@G@API6VTFVIAU
Privatpersonen Bundesorgane Kantone Vereine / Verbände EDV-Bereich Anwalt- und Treuhandbüros Industrie / Gewerbe / Dienstleistungen Ausländische Behörden Medien Datenschutz allgemein 218 151 38 20 10 131 61 1 68 Auskunftsrecht 108 22 10 21 8 1 7 Anmeldung Datensammlungen 62 16 1 8 47 11 Datenbekanntgabe 86 19 5 30 5 81 107 42 Übermittlungen ins Ausland 59
7 25 118 61 1 10 Kompatibilität mit E.U. Länder 15 12 4 3 19 57 52 1 21 Arbeitsbereich / Arbeitsvermittlung 237 36 16 1 39 96 154 12 53 Gesundheit / Versicherungen/ 307 97 47 2 43 63 16 1 15 Mietrecht / Mietformulare 12
1
Marketing direkt Werbung 53 2
23 9 8 19 1 29 Banken/Kreditkarten Kreditauskünfte 71 2 7 24 22 33 Statistik 32 18 30 1 11 3 34 Fahrzeughalter Register 3 1 1 2 Videoüberwachung Bildmaterial 30 7 6 10 3 12 1 37 Telefon-Daten 63 3 2 10 4 36 30 2 21 INTERNET 79 15 7 16 8 19 37 30 Datensicherheit Kryptografie 30 29 6 9 25 10 23 14 Polizeiwesen 40 23 11 6 6 Zoll 1 7 1 Ausländer / Asyl. 3 18
7
1 Steuern 4 Militär 5 3 E-Commerce 2 1 1 18 25 38 10 DNA Genetik 2 8 15 Total 1522 489 185 166 215 733 655 24 448
106
Uryrshxs
nach Anfragenden 0 200400600800 1000120014001600 Privat- personen Bundes- organe Kantone Vereine / Verbände EDV-Bereich Anwalt- und Treuhandbüros Industrie/Gewerbe Dienstleistungen Ausländische Behörden Medien
107
Uryrshxs nach Sachgebiet 0 100200300400500600700800 Datenschutz allgemein Auskunftsrecht Anmeldung Datensammlungen Datenbekanntgabe Übermittlungen ins Ausland Kompatibilität mit E.U. Länder Arbeitsbereich/ Arbeitsvermittlung Gesundheit/ Versicherungen Mietrecht/ Mietformulare Marketing direkt Werbung Banken/ Kreditkarten Kreditauskünfte Statistik Fahrzeughalter Register Videoüberwachung Bildmaterial Telefon-Daten INTERNET Datensicherheit Kryptografie Polizeiwesen Zoll Ausländer / Asyl. Steuern Militär E-Commerce DNA Genetik
" 9hTrx rh vhqr@vqtrvpur9hrpuirhs htr
@vqtrvpur 9hrpuirhs htr ) Br Pqvy9 v Stellvertreter: Walter Jean-Philippe, Dr. iur.
Trx rh vh) Leiter: Walter Jean-Philippe, Dr. iur. Stellvertreter: Buntschu Marc, lic. iur.
Informations- und Pressedienst Eggli Liliane, lic. phil. Tsiraktsopulos Kosmas, lic. iur.
Rechtsdienst: 8 Personen
Informatikdienst: 3 Personen
Kanzlei: 3 Personen
109 W 6IC6IB
@purvqqr @VFvv 6trrrurvqrTpur r rirtrr 9hrvqr Tpurv
DD Ivpur ssryvputirq svtrSrpuhxr KOMMISSION ENTSCHEIDUNG DER KOMMISSION !%Eyv! tr23qr Svpuyvvr($#%@Bqr@ 2vpurQh yhrqqrShr:ir qvr 6trrrurvqrTpurr rirtrr 9hrvqr Tpurv (Bekannt gegeben unter Aktenzeichen K(2000) 2304) (Text von Bedeutung für den EWR) (2000/518/EG)
DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr 1 , insbesondere auf Artikel 25 Absatz 6, in Erwägung nachstehender Gründe: (1) Gemäß der Richtlinie 95/46/EG haben die Mitgliedstaaten vorzusehen, dass die Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn dieses Drittland vor der Übermittlung ein angemessenes Schutzniveau gewährleistet und die einzelstaatlichen Rechtsvorschriften zur Umsetzung anderer Bestimmungen der Richtlinie beachtet werden. (2) Die Kommission kann feststellen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet. In diesem Fall können personenbezogene Daten aus den Mitgliedstaaten übermittelt werden, ohne dass zusätzliche Garantien erforderlich sind. (3) Gemäß der Richtlinie 95/46/EG sollte die Angemessenheit des Schutzniveaus unter Berücksichtigung aller Umstände, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen, und im Hinblick auf die gegebenen Bedingungen beur- teilt werden. Die durch die Richtlinie eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten hat Leitlinien für solche Bewertungen erstellt 2 . (4) Angesichts der verschiedenen Ansätze von Drittländern im Bereich Datenschutz sollte die Beurteilung der Angemessenheit bzw. die Durchsetzung jeder Entscheidung gemäß
1 ABl. L 281 vom 23.11.1995, S. 31. 2 Stellungnahme 12/98 der Datenschutzgruppe vom 24. Juli 1998: Übermittlungen personenbezogener Daten an Drittländer. Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU (GD MARKT D/5025/98), verfügbar auf der Website http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.
110 Artikel 25 Absatz 6 der Richtlinie 95/46/EG in einer Form erfolgen, die gegen Drittländer bzw. unter Drittländern, in denen gleiche Bedingungen vorherrschen, nicht willkürlich oder ungerechtfertigt diskriminierend wirkt und unter Berücksichtigung der bestehenden Verpflichtungen der Gemeinschaft kein verstecktes Handelshemmnis darstellt. (5) Die Schweizerische Eidgenossenschaft verfügt auf Bundes- wie auch auf kantonaler Ebene über verbindliche Rechtsnormen zum Schutz personenbezogener Daten. (6) Gemäß der am 18. April 1999 durch Volksabstimmung geänderten Bundesverfassung, die am 1. Januar 2000 in Kraft getreten ist, hat jede Person Anspruch auf die Achtung ihrer Privatsphäre und insbesondere auf den Schutz vor Missbrauch der sie betreffenden Daten. Das Bundesgericht hat in seiner Rechtsprechung bereits auf Basis der früheren Verfassung, die keine derartige Bestimmung enthielt, allgemeine Grundsätze für die Verarbeitung personenbezogener Daten entwickelt. Diese beziehen sich vor allem auf die Qualität der verarbeiteten Daten, das Auskunftsrecht der betroffenen Personen und das Recht, die Berichtigung oder Vernichtung der Daten zu verlangen. Diese Grundsätze sind sowohl für den Bund als auch für die Kantone bindend. (7) Das schweizerische Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 ist am 1. Juli 1993 in Kraft getreten. Durchführungsvorschriften zu einigen Bestimmungen dieses Gesetzes, insbesondere über das Auskunftsrecht der betroffenen Personen, die Anmeldung der Datensammlungen bei einer unabhängigen Kontrollinstanz oder die Übermittlung der Daten ins Ausland, wurden in Verordnungen des Bundesrates geregelt. Das Gesetz gilt für die Bearbeitung personenbezogener Daten durch Bundesorgane, durch den gesamten privaten Sektor sowie durch kantonale Stellen in Erfüllung des Bundesrechts, sofern die Kantone auf diese Datenbearbeitung nicht kantonale Datenschutzbestimmungen anwenden. (8) Die meisten Kantone haben datenschutzrechtliche Vorschriften für ihren Zuständigkeitsbereich erlassen, die insbesondere öffentliche Krankenhäuser, den Bildungssektor, direkte Steuern der Kantone und die Polizei betreffen. In den übrigen Kantonen wird der Schutz durch Ordnungsvorschriften gewährleistet oder es gelten die in der kantonalen Rechtsprechung festgelegten Grundsätze. Ungeachtet von Herkunft und Inhalt der kantonalen Bestimmungen, aber auch wenn keine derartigen Bestimmungen vorliegen, sind die Grundsätze der Verfassung einzuhalten. In ihrem Zuständigkeitsbereich können die Kantonalbehörden veranlasst werden, personenbezogene Daten an Behörden von Nachbarländern zu übermitteln, hauptsächlich zur Wahrung wichtiger öffentlicher Interessen oder, im Fall öffentlicher Krankenhäuser, zur Wahrung lebenswichtiger Interessen der betroffenen Personen. (9) Die Schweiz hat am 2. Oktober 1997 das Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108) 3 ratifiziert, mit dem der Schutzpersonenbezogener Daten gestärkt und der freie Verkehr zwischen den Vertragsparteien, vorbehaltlich der Ausnahmen, die diese vorsehen können, sichergestellt werden soll. Das Übereinkommen ist zwar nicht direkt anwendbar, enthält jedoch internationale Verpflichtungen für den Bund und die Kantone. Diese Verpflichtungen betreffen sowohl die Grundsätze des Datenschutzes, die jede Vertragspartei in ihrem innerstaatlichen Recht zu verwirklichen hat, als auch Vorkehrungen zur Zusammenarbeit zwischen den Vertragsparteien. Insbesondere müssen die schweizerischen Behörden den Behörden der übrigen Vertragsparteien auf Ersuchen Auskünfte über Recht und Verwaltungspraxis im Bereich des Datenschutzes sowie Sachauskünfte über eine bestimmte automatische Verarbeitung erteilen. Zudem
3 Verfügbar auf der Website http://conventions.coe.int/treaty/EN/cadreintro.htm.
111 haben sie jede im Ausland wohnende Person bei der Ausübung der ihr zustehenden Rechte zu unterstützen, wenn diese Auskünfte darüber verlangt, ob personenbezogene Daten über sie verarbeitet werden, sich diese Daten mitteilen lassen und sie gegebenenfalls berichtigen oder löschen lassen will und wenn sie einen Rechtsbehelf einlegen will. (10) Die in der Schweiz geltenden Rechtsvorschriften berücksichtigen alle Grundsätze, die notwendig sind, damit ein ausreichender Schutz für natürliche Personen gegeben ist, obwohl sie auch Ausnahmen und Einschränkungen zur Wahrung wichtiger öffentlicher Interessen vorsehen. Um die Anwendung dieser Vorschriften zu garantieren, stehen Rechtsbehelfe zur Verfügung, und unabhängige Stellen, wie der mit Untersuchungs- und Eingriffskompetenzen ausgestattete eidgenössische Datenschutzbeauftragte, stellen die Überwachung sicher. Im Übrigen sind die Bestimmungen des schweizerischen Rechts über die zivilrechtliche Haftung anzuwenden, wenn durch die unerlaubte Verarbeitung ein Schaden verursacht wurde. (11) Im Interesse der Transparenz und der Gewährleistung der Fähigkeit der zuständigen einzelstaatlichen Behörden, den Schutz von Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, ist es ungeachtet der Feststellung eines angemessenen Schutzniveaus notwendig, in dieser Entscheidung die besonderen Umstände zu nennen, unter denen die Aussetzung bestimmter Datenströme gerechtfertigt ist. (12) Die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten hat zu dem von dem schweizerischen Recht gewährten Schutzniveau Stellungnahmen abgegeben, die bei der Ausarbeitung der vorliegenden Entscheidung berücksichtigt wurden 4 . (13) Die in dieser Entscheidung vorgesehenen Maßnahmen entsprechen der Stellungnahme des durch Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschusses HAT FOLGENDE ENTSCHEIDUNG ERLASSEN: 6 vxry Es wird festgestellt, dass die Schweiz für sämtliche unter die Richtlinie 95/46/EG fallenden Tätigkeiten ein im Sinne des Artikels 25 Absatz 2 der genannten Richtlinie angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die aus der Gemeinschaft übermittelt werden. 6 vxry! Die vorliegende Entscheidung betrifft nur die Angemessenheit des Schutzes, der in der Schweiz gewährt wird, um die Anforderungen des Artikels 25 Absatz 1 der Richtlinie 95/46/EG zu erfüllen und lässt die Anwendung anderer Bestimmungen der Richtlinie, die sich auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten beziehen, unberührt. 6 vxry" (1) Ungeachtet ihrer Befugnisse, tätig zu werden, um die Einhaltung einzelstaatlicher Vorschriften, die gemäß anderen Bestimmungen als den des Artikels 25 der Richtlinie 95/46/EG angenommen wurden, zu gewährleisten, können die zuständigen Behörden in den Mitgliedstaaten ihre bestehenden Befugnisse ausüben, zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an einen Empfänger in der Schweiz auszusetzen, wenn
4 ) Stellungnahme 5/99 der Datenschutzgruppe vom 7. Juni 1999 (GD MARKT 5054/99), verfügbar auf der in Fußnote 2 genannten Website.
112 a) eine zuständige Schweizer Behörde feststellt, dass der Datenempfänger die geltenden Datenschutzvorschriften nicht einhält oder b) eine hohe Wahrscheinlichkeit besteht, dass die Schutzvorschriften verletzt werden; wenn Grund zur Annahme besteht, dass die zuständige Schweizer Behörde nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den Fall zu lösen; wenn die fortgesetzte Datenübermittlung den betroffenen Personen einen nicht wieder gutzumachenden Schaden zufügen würde, und wenn die zuständigen Behörden in den Mitgliedstaaten ihre Mitteilungspflichten gegenüber der für die Verarbeitung in der Schweiz zuständigen Stelle unter den gegebenen Umständen in angemessener Weise erfüllt und dieser Gelegenheit zur Stellungnahme gegeben haben. Die Aussetzung ist zu beenden, sobald sichergestellt ist, dass die Vorschriften befolgt werden und die zuständige Behörde in der Gemeinschaft davon in Kenntnis gesetzt ist. (2) Die Mitgliedstaaten informieren die Kommission unverzüglich, wenn Maßnahmen gemäß Absatz 1 ergriffen wurden. (3) Die Mitgliedstaaten und die Kommission informieren einander auch über Fälle, bei denen die Maßnahmen der für die Einhaltung der Vorschriften in der Schweiz verantwortlichen Einrichtungen nicht ausreichen, um die Einhaltung zu gewährleisten. (4) Ergeben die Informationen nach den Absätzen 1, 2 und 3, dass eine der für die Einhaltung der Vorschriften in der Schweiz verantwortlichen Einrichtungen ihrer Aufgabe nicht wirkungsvoll nachkommt, so informiert die Kommission die zuständige Schweizer Behörde und schlägt, wenn nötig, gemäß dem Verfahren von Artikel 31 der Richtlinie 95/46/EG im Hinblick auf eine Aufhebung oder Aussetzung dieser Entscheidung entsprechende Maßnahmen vor. 6 vxry# (1) Diese Entscheidung kann jederzeit im Licht der Erfahrungen mit ihrer Anwendung oder aufgrund von Änderungen der Schweizer Rechtsvorschriften angepasst werden. Die Kommission nimmt drei Jahre, nachdem sie die Mitgliedstaaten von dieser Entscheidung in Kenntnis gesetzt hat, anhand der verfügbaren Informationen eine Bewertung ihrer Anwendung vor und unterrichtet den nach Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss über ihre Feststellungen, einschließlich sämtlicher Erkenntnisse, die die Beurteilung in Artikel 1 dieser Entscheidung, wonach die Schweiz ein angemessenes Schutzniveau im Sinne von Artikel 25 der Richtlinie 95/46/EG bietet, berühren könnten, sowie etwaiger Belege dafür, dass die Entscheidung in diskriminierender Weise angewandt wird. (2) Die Kommission legt erforderlichenfalls gemäß dem Verfahren von Artikel 31 der Richtlinie 95/46/EG Vorschläge für Maßnahmen vor. 6 vxry$ Die Mitgliedstaaten ergreifen binnen 90 Tagen, nachdem sie von der Veröffentlichung der Entscheidung in Kenntnis gesetzt worden sind, alle für ihre Umsetzung erforderlichen Maßnahmen. 6 vxry% Diese Entscheidung ist an alle Mitgliedstaaten gerichtet.
Brüssel, den 26. Juli 2000 A qvrFvv Frederik BOLKESTEIN Hvtyvrqqr Fvv
113 %
'(5$%/$8)'(5h%(5:$&+81* $ ! 6iyhsqvht h@HhvyqDr r:ir hputh6 irvyh
Bei der anonymen Überwachung durch die Sicherheitsbeauftragten oder durch andere Hinweise wird festgestellt: ',(925$866(7=81*(1'(5h%(5:$&+81*
Anpassung der technischen Schutzmassnahmen
Anpassung der Nutzungsregelung Der Arbeitnehmer hat zivil- und strafrechtliche Klagemöglichkeiten, um gegen eine Verletzung der Voraussetzungen der Überwachung vorzugehen.
Keine personenbezogene Auswertung erlaubt Information der Arbeitneh- mer über den festgestellten Missbrauch und Ankündi- gung personenbezogener Auswertung bei Wiederho- lung eines Missbrauchs Wiederholter Missbrauch wird festgestellt Personenbezogene Auswertung Weitergabe der Auswertung an die Vorgesetzten Arbeitsrechtliche Sanktionen
Bei konkretem 9HUGDFKWDXI6WUDIWDW: Es besteht keine Anzeigepflicht. Wenn der Arbeitgeber Anzeige erstattet, kann er Beweise sichern. Die Strafverfolgung ist ausschliesslich Aufgabe der Strafjustiz. Da der Verdacht einer Straftat besteht, kann der Arbeitgeber selber personenbezogen auswerten und somit gegen eine bestimmte Person Anzeige erstatten.
Missbrauch ohne technische Störung Missbrauch mit technischer Störung Kein Missbrauch, aber technische Störung Kein Missbrauch und keine technische Störung Anpassung der technischen Schutzmassnahmen und der Nutzungsregelung
Der Arbeitgeber setzt technische Schutzmassnahmen wie Antivirusprogramme, Firewalls, Diskquotas, Backups usw. ein. Der Einsatz von sogenannten Spionprogrammen beim Benutzer ist verboten. Der Arbeitgeber bestimmt die einzusetzenden Protokollierungen und sorgt dafür, dass einzig der Sicherheitsbeauftragte bei Bedarf darauf Zugriff hat.
Der Arbeitgeber informiert die Arbeitnehmerschaft über folgende Punkte: Eingesetzte WHFKQLVFKH6FKXW]PDVVQDKPHQ und bestehende Protokollierungen 1XW]XQJVUHJHOXQJ Dies ist eine schriftliche Weisung, die besagt, ob und wie die Benutzung von E-Mail und Internet erlaubt ist. Eine solche Regelung ist empfehlenswert, da sie Klarheit schafft. hEHUZDFKXQJ Die Sicherheitsbeauftragten führen laufend anonyme Überwachungen der technischen Ressourcen (intrusion and abuse detection) durch und können die Einhaltung der Nutzungsregelung stichprobenweise anonym überprüfen. Ein Missbrauch muss jedoch festgestellt werden, bevor der Arbeitgeber die Protokollierungen personenbezogen auswerten darf. Ein solcher liegt dann vor, wenn gegen die Nutzungsregelung oder gegen die Treuepflicht bzw. gegen die Verhältnismässigkeit verstossen wird. Damit personenbezogen ausgewertet werden darf, ist zudem ein schriftliches Überwachungsreglement zwingend. Darin sind auch die Bekanntgabe der Auswertungen an die Vorgesetzten und die Sanktionen geregelt. N.B. - Die Überwachung des E-Mail-Gebrauchs ist von der Technik her immer personenbezogen und nur aufgrund der Vertraulichkeitsangaben (privat, persönlich, vertraulich) oder der Adressierungselemente erlaubt. Wenn die Natur des E-Mails unklar bleibt, muss die betroffene Person gefragt werden.
114 " Hr xiyh:ir qvrWvqr:ir hputq pu vhrQr r
9r @vqtr vpur 9hrpu irhs htr vs vr )
H@SF7G6UU7@S9D@WD9@P7@SX68CVIB 9VS8CQSDW6U@Q@STPI@I
Wenn private Personen Videokameras einsetzen, beispielsweise um Personen zu schützen oder Sachbeschädigungen zu verhindern, so untersteht dies dem Bundes- gesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1), wenn sich die gefilmten Bilder auf bestimmte oder bestimmbare Personen beziehen. Dies gilt unabhängig davon, ob die Bilder aufbewahrt werden oder nicht. Die vorgenommenen Bearbeitungen der Bilder – wie Erfassen, Bekanntgeben, unmittelbares oder nachträgliches Anschauen oder Aufbewahren – müssen die allgemeinen Grundsätze des Datenschutzes einhalten.
Dieses Merkblatt betrifft die Videoüberwachung durch private Personen an privaten Örtlichkeiten, egal ob diese öffentlich zugänglich sind oder nicht. Dieses gilt nicht für die Videoüberwachung am Arbeitsplatz. Dazu finden Sie Informationen im 4. Tätigkeitsbericht des Eidgenössischen Datenschutzbeauftragten, Kapitel I, 4.2.
Wvqr+ir hputrrvq r yhi rqvrsytrqrrv7rqvttrr s+yyvq)
Die Anforderungen an den Aufbau und Einsatz einer Videoüberwachung sind im einzelnen auf der Rückseite zusammengefasst.
Weitere Informationen zum Datenschutz finden Sie unter www.edsb.ch oder wenden Sie sich bitte direkt an den Eidgenössischen Datenschutzbeauftragten, 3003 Bern, Tel. 031 322 43 95, Fax. 031 325 99 96, info@edsb.ch
115
7rv@vhq6sihrvrWvqr+ir hputr +rqvrsytrqrSrtryrvtruhyrr qr)
Die für die Videoüberwachung Verantwortlichen müssen alle Personen, die das Aufnahmefeld der Kameras betreten, mit einem gut sichtbaren Hinweisschild über das Überwachungssystem informieren. Sind die aufgenommenen Bilder mit einer Datensammlung verbunden, muss auch angegeben sein, bei wem das Auskunftsrecht geltend gemacht werden kann, falls sich dies nicht aus den Umständen ergibt. Q vvU rqByhirvr6xs rpu 7rvvry: Beim Eingang zu einem Mehrfamilienhaus muss das Hinweisschild für jede eintretende Person gut ersichtlich sein.
Die verantwortliche Person muss die Personendaten durch angemessene technische und organisatorische Massnahmen vor jeglichem unbefugten Bearbeiten schützen. 9hrvpur urv 7rvvry: Nur berechtigte Personen dürfen die Bildschirme sehen können. Die gespeicherten Daten müssen in einem sicheren, verriegelten Raum aufbewahrt werden, zu dem nur berechtigte Personen den Schlüssel haben.
Die Videokamera muss so aufgestellt werden, dass nur die für den verfolgten Zweck absolut notwendigen Bilder in ihrem Aufnahmefeld erscheinen. Wr uyvvtxrv vv 7rvvry: Bei einer Überwachung in einem Mehrfamilienhaus darf nicht ersicht- lich sein, wer in welche Wohnung eintritt.
Die Daten dürfen nur für den Schutz von Personen und Sachen benutzt werden, nicht für andere Zwecke. arpxivqt vv 7rvvry: Ein Verkaufsgeschäft darf Sicherheitsaufnahmen nicht für Marketing- zwecke verwenden.
Die aufgenommenen Personendaten dürfen nicht bekannt gegeben werden, ausser in den durch das Gesetz vorgesehenen oder erlaubten Fällen, z. B. bei einer von einem Richter stammenden Anfrage. arpxivqt vv 7rvvry: Das Verkaufsgeschäft darf die aufgenommenen Bilder weder an Dritte weitergeben noch -verkaufen.
Die mit einer Kamera aufgenommenen Bilder müssen innert kürzester Zeit gelöscht werden. Sachbeschädigungen oder Personenverletzungen werden im Normalfall sofort oder innerhalb von wenigen Stunden festgestellt. Eine Frist von 24 Stunden erscheint angesichts des verfolgten Zwecks als genügend, sofern innerhalb dieses Zeitraums keine nennenswerten Ereignisse entdeckt werden. Bei der Videoüberwachung in privaten Räumen, die nicht öffentlich zugänglich sind, kann diese Frist in gewissen Fällen länger sein. Wr uyvvtxrv vv 7rvvry: Bei einer Ferienabwesenheit können Aufnahmen ausnahmsweise län- ger aufbewahrt werden, müssen aber nach der Rückkehr der verant- wortlichen Person so bald wie möglich gelöscht werden.
Tätigkeitsbericht 2000/2001 des EDSB
116
Bern, den 7. Dezember 2000
@HQA@CGVIB
tr2
6 !(qr7qrtrrr:ir qr9hrpu (Ev ((!9TB
vThpur
67T@IaH6I6B@H@IU89SPH8PSQPS6U@X@GGI@TT9@STXD86
D 9r @vqt9hrpuirhs htrryysr)
Der Eidg. Datenschutzbeauftragte (EDSB) wurde im April 2000 auf die Produktion und Vertrieb einer CD-ROM « Absenzmanager » der Gesundheitsorganisation SWICA informiert.
Aus den bestehenden Unterlagen sowie aus dem Briefwechsel zwischen EDSB und SWICA hat sich insb. ergeben, dass die CD-ROM die systematische Erfassung von Personendaten wie Name, Vorname, Nationalität, Abwesenheitsgrund, Arzttyp, Diagnose, Bemerkungen, usw. durch den Arbeitgeber und die Auswertung nach Kriterien wie Nationalität, Arzt oder Diagnose (siehe dazu z. B. S. 8 Booklett) bzw. nach festgelegten Zielwerten (Zeitbudget für Krankheiten) ermöglicht. Ausserdem sieht die CD-ROM die Möglichkeit des Datenaustausches mit anderen Datenbanken vor. Die CD-ROM ist nach Angaben der SWICA als Kontrollinstrument des Arbeitgebers über die Abwesenheiten seiner Angestellten konzipiert und soll sowohl den Gesundheitsschutz fördern als auch die Abwesenheiten am Arbeitsplatz reduzieren.
Für den EDSB ist die CD-ROM als Gesundheitsmassnahme nicht geeignet. Ausserdem stellt die CD-ROM eine unverhältnismässige und unzweckmässige Datenbearbeitung dar, da der Arbeitgeber die systematisch erfassten Gesundheitsdaten (Diagnose, behandelnder Arzt) zur Durchführung des Arbeitsvertrages nicht braucht (vgl. Schreiben des EDSB vom 31.08.2000). Im übrigen ist die vorgesehene Datenbearbeitung auch deswegen unzulässig, weil die Gesundheitsdaten mit weiteren Personendaten (z. B. die Nationalität) kombiniert und verglichen werden können. Daraus können nach Meinung des EDSB diskriminierende Rückschlüsse gezogen werden. Die systematische Erfassung anderer Abwesenheitsgründe durch den Arbeitgeber (z. B. Ferien, Militär, usw.) wird vom EDSB nicht beanstandet.
Die SWICA vertritt im Wesentlichen die Auffassung, dass der Arbeitgeber berechtigt ist, Krankheitsdiagnosen systematisch zu bearbeiten. Gesundheitsdaten seien für den Arbeitgeber auch deswegen wichtig, weil Letzterer über die Weiterbeschäftigung eines kranken Mitarbeiters entscheidet. Ein Datenaustausch mit Datenbanken der SWICA finde in der Praxis nicht statt. Die SWICA behauptet ausserdem, die systematische Erfassung von Gesundheitsdaten sei gegenüber gesundheitlich schwächeren Mitarbeiter nicht diskriminierend, da gerade für solche Angestellten individuelle Krankheitsbudgets geschaffen werden.
Tätigkeitsbericht 2000/2001 des EDSB
117
DD 9r @9T7vruv@ 2tt)
Bei der Datenbeschaffung ist der Arbeitgeber am Verhältnismässigkeits- und Zweckmässigkeitsprinzip gebunden (Art. 328b OR). Die durch die fragliche CD-ROM erfassten Daten (u.a. Arztdiagnose, Arzttyp) stellen besonders schützenswerte Personendaten dar. Nach dem Verhältnismässigkeitsprinzip ist es insb. unzulässig, dass der Arbeitgeber bzw. sein Personaldienst Arztdiagnosen systematisch erfasst. Diese sind weder zur Schaffung von Massnahmen der Gesundheitsprävention noch zur Absenzenbewirtschaftung notwendig. Solche besonders schützenswerte Personendaten dürfen per Definition nur durch Personen bearbeitet werden, die dem Arztgeheimnis unterstehen. Einzelfallweise, sofern dies zur Abklärung einer speziellen Sachlage erforderlich ist, kann ein Arbeitgeber bzw. die Abteilung Sicherheits- und Gesundheitsprävention des Unternehmens oder der Unternehmensgruppe Kenntnis über die Ursachen einer Krankheit einer bestimmten Person erlangen. Bagatellfälle (z. B. Grippe) werden vom Arbeitnehmer dem Arbeitgeber meistens bekannt gegeben. Die systematische Erfassung dieser Daten entbehrt jedoch eines Rechtfertigungsgrundes. Ohne ausdrückliche Einwilligung des Patienten darf der Arbeitgeber vom Arzt nur einen Arztbefund bekommen (”krank” oder ”geeignet/ungeeignet” für eine Stelle). Zulässig ist hingegen die Erfassung der Anzahl Absenztage wegen Krankheit (ohne Spezifikationen).
Das Festhalten eines jährlichen Budgets an Krankheitstage ist ebenso unzulässig, weil dadurch gesundheitlich schwächerer Menschen, die öfters abwesend sind, diskriminiert werden können. Die Behauptung der SWICA, die fragliche Datenbearbeitung sei gegenüber gesundheitlich schwächeren Angestellten nicht diskriminierend, weil für solche Angestellten individuelle Krankheitsbudgets geschaffen werden können, widerspricht der in der Einführung des Bookletts zur CD-ROM festgehaltenen Zielsetzung der Reduktion der Absenzen. Die vorgesehene Datenbearbeitung ist aber auch deswegen unzulässig, weil Gesundheitsdaten mit weiteren besonders schützenswerten Personendaten wie die Nationalität kombiniert und verglichen werden können. Daraus können auch rassendiskriminierende Rückschlüsse gezogen werden.
Die CD-ROM ist auch als Massnahme der Gesundheitsprävention zu beanstanden. Wie wir es bereits in unserer Stellungnahme vom 31. August 2000 festgehalten haben, verpflichtet die Gesundheitsprävention (Art. 328 OR) den Arbeitgeber, Massnahmen zu treffen, um Gefahren für die Gesundheit der Arbeitnehmer vorzubeugen. Arbeitsräume, Systeme und Maschinen sind so zu unterhalten, dass deren Benutzung keine Folgen auf die Gesundheit der Arbeitnehmer haben können. Die Erfassung von Informationen über ”Schwachstellen” im Unternehmen (z. B. Luftzug, gefährliche Substanzen, Rauchen, schlechte Bildschirme, usw.) erfolgt anonym, aufgrund statistischer Angaben (Verhältnismässigkeitsprinzip, Art. 4 Abs. 2 Datenschutzgesetz, DSG, SR 235.1, vgl. dazu auch die auf dem UVG basierende Richtlinie 6508 zur Sicherheits- und Gesundheits- prävention der Eidg. Koordinationskommission für Arbeitssicherheit). Nur in Ausnahme- fällen, sofern es zur Abklärung einer speziellen Sachlage erforderlich ist, darf der Arbeit- geber bzw. die Abteilung Sicherheits- und Gesundheitsprävention des Unternehmens oder der Unternehmensgruppe mit betroffenen Personen Kontakt aufnehmen. Bei der in Frage stehenden CD-ROM handelt es sich hingegen u. a. um ein Programm zur systematischen, personenbezogenen Erfassung und Auswertung von Gesundheitsdaten. Die Kenntnis des Bestehens einer personenbezogenen, systematischen Auswertung des Absenzverhaltens könnte dank der bearbeiteten Daten und deren Kombinationen (u. a. Diagnose, Nationalität) und der daraus resultierenden, möglichen Diskriminierungen, einen psychischen Druck auf die Arbeitnehmer ausüben, welcher mit dem ursprünglichen Zweck, nämlich der Gesundheitsprävention, in Widerspruch steht. Gemäss Art. 26 Abs. 2
Tätigkeitsbericht 2000/2001 des EDSB
118 der Gesundheitsvorsorgeverordnung 3 zum Arbeitsgesetz (SR 822.113) sind aber Über- wachungssysteme so zu gestalten, dass die Gesundheit und die Bewegungsfreiheit dadurch nicht beeinträchtigt werden. Gegen das Bestehen einer gesundheitspräventiven Wirkung der CD-ROM sprechen im übrigen auch die Erläuterungen im Booklett, wonach es sich bei der CD-ROM vielmehr um eine reine Absenzenkontrolle handelt. Fehlt bei einer Massnahme der Gesundheitsprävention die gesundheitspräventive Wirkung oder ist Erstere nicht mit dem übrigen Recht vereinbar, ist von ihrer Anwendung abzusehen (weil es u. E. nicht Aufgabe einer Gesundheitsorganisation ist, Absenzkontrollsysteme für Arbeitgeber zu schaffen), oder ist rechtskonform zu gestalten. 4. Für die Datenbearbeitung durch private Personen sind Rechtfertigungsgründe nötig (Art. 13 DSG). Weder die Einwilligung der betroffenen Personen, noch eine gesetzliche Grundlage, noch ein überwiegendes privates oder öffentliches Interesse ist für den Datenaustausch zwischen Absenz-Datenbank und andere Datenbanken gegeben. Ohne Rechtfertigungsgrund stellt eine solche Datenbekanntgabe im übrigen eine gravierende Verletzung des Berufsgeheimnisses seitens des Arbeitgebers dar. Die Behauptung der SWICA, ein Datenaustausch zwischen ihr und dem Arbeitgeber finde nicht statt, mag zwar in der Tat richtig sein, sie ändert aber an der Tatsache nichts, dass bereits die technische Möglichkeit eines solchen Datenaustausches gesetzeswidrig ist.
DDD6st qqvrr @ 2ttrrsvruyqr @vqt9hrpuirhs htr)
9@S@D9B@IBTTDT8C@ 96U@IT8CVUa7@6VAUS6BU@ Der Beauftragte:
O. Guntern
119 #! @sruytvThpurIhpurqrhs htqr Q 3003 Bern, 19. Februar 2001 @HQA@CGVIB tr2 6 !&6i#7qrtrr:ir qr9hrpu (Ev ((! vThpur Ihpurqrhs htqr Tpurvr vpurQ D 9r @vqt9hrpuirhs htrryysr)
Die Schweizerische Post bietet ihren Kundinnen und Kunden den sog. Nachsendeauftrag (Formular 01 «Nachsendeauftrag für Postsendungen / Wohnungswechsel») an. Nach einem Wohnungswechsel werden die Postsendungen, die noch an die ehemalige Anschrift adressiert werden, an das neue Domizil geleitet.
Die Schweizerische Post bietet zusammen mit der Firma DCL Data Care AG einen Adressaktualisierungsdienst mit der Bezeichnung «MAT[CH]move» an. Mit Hilfe einer Umzugsdatenbank können Dritte ihre Adressbestände auf den neusten Stand bringen lassen. Insbesondere Firmen nutzen MAT[CH]move, um ihren Kundenstamm aktuell zu halten. Die Adressaktualisierung wird jedem Interessenten angeboten, unabhängig davon ob er eine Postsendung zu verschicken beabsichtigt.
Die Umzugsdatenbank wird mit den Angaben des unter Punkt 1 genannten Formulars gespiesen, welches die Umziehenden ausfüllen.
In den Formularen, die bis Ende 2000 verwendet wurden, war die Untersagungs- möglichkeit der Adressaktualisierung für Dritte nicht erwähnt. Der Eidg. Datenschutz- beauftragte (EDSB) hat bei der Schweizerische Post wiederholt in dieser Sache inter- veniert. Nach einer Anzahl von Sitzungen und Briefwechseln mit der Schweizerischen Post, hat der EDSB am 10. November 2000 Änderungsvorschläge zu den Postfor- mularentwürfen gemacht, die die Post dem EDSB am 2. November 2000 zugestellt hatte: %Xv puyhtr Dur irvvryrvr sytrqr A yvr t ) 9h s Du r rr Qhq rrrvr9 vrqr ir rvv7rvDu r hyr6q rrv Wr stt trryyr qr6q rhxhyvvr t4EhIrv4 Der EDSB hat sich ebenfalls zu den Tarifen geäussert. Er verlangte, dass die Tarife die freie Wahl der Kundinnen und Kunden, die Adressaktualisierung für die Dritte zu erlauben oder zu untersagen, nicht beeinflussen. Am 27. Dezember 2000 hat die Post dem EDSB die definitiven Formulare (gültig ab 1. Januar 2001 / siehe Punkt 5 unten) zur Information zugestellt, die nur einen Teil der Forderungen des EDSB berücksichtigen. Am 10. Januar 2001 hat der EDSB von der Post Erklärungen über noch hängige Punkte verlangt (Zugänglichmachung der Daten via das Internet-Portal «Yellowworld» der Post). Des Weiteren hat der EDSB erneut die unpräzisen Formulierungen des Formulars bzw. des Merkblattes kritisiert und Änderungsvorschläge gemacht. Am 23. Januar 2001 antwortete die Post dem EDSB, dass sichergestellt ist, dass inskünftig keine Daten aus den Formularen via Yellowworld-E-Mailverzeichnis abrufbar sind. Zu den Änderungsvorschlägen des EDSB schrieb die Post lediglich: %Du rW puy5trs
Tätigkeitsbericht 2000/2001 des EDSB
120 rvrqr tqr A yh rqqrHr xiyhrr qrv irvqr 5pur6syhtr rvtrurq srqtrtrirrshyyrvsyvrryhr4. 5. Ab dem 1. Januar 2001 hat die Schweizerische Post ihr neues Formular eingeführt, das die Untersagungsmöglichkeit der Adressaktualisierung für Dritte wie folgt erwähnt: %9h s qr6irqr qr puir Du rhyr6q rrr stqvrrrQhq rrirxh trtrirr qr4EhIrv4. 6. Kundinnen und Kunden, die «Ja» wählen, bezahlen den bisherigen Tarif von Fr. 10.- für die Nachsendung der Post während eines Jahres. Wer «Nein» ankreuzt, also eine Adressaktualisierung für Dritte untersagt, hat einen erhöhten Tarif zu bezahlen, nämlich Fr. 20.- pro Monat (also Fr. 240.- pro Jahr). Auf ein Jahr gerechnet entspricht dies dem vierundzwanzigfachen Preis (bzw. einer Steigerung um 2'300 % ). DD 9r @vqt9hrpuirhs htrvruv@ 2tt)
Die Adressaktualisierung stellt eine Bearbeitung von Personendaten im Sinne des Bundes- gesetzes über den Datenschutz vom 19. Juni 1992 (DSG, SR 235.1) dar, woraus sich die Legitimation des EDSB zum Erlass einer Empfehlung gemäss Art. 27 Abs. 4 DSG ergibt.
Gemäss Art. 13 des Postgesetzes vom 30. April 1997 (PG, SR 783.0) gelten für das Bearbeiten von Personendaten durch die Post die Artikel 12–15 DSG. Die Aufsicht richtet sich nach den Bestimmungen für Bundesorgane (Art. 23 Abs. 2 DSG).
Ausgehend vom verfassungsmässig garantierten Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten (Art. 13 Abs. 2 Bundesverfassung) muss jede Person die Herr- schaft über die sie betreffenden Informationen ausüben und eine Bearbeitung dieser Daten durch Dritte einschränken können (informationelles Selbstbestimmungsrecht; vgl. BUNTSCHU, in Maurer/Vogt (Hrsg.), Kommentar zum Schweizerischen Datenschutz- gesetz, Art. 1, N 14 ff.)
Ohne transparente Information durch die Postformulare (inkl. Merkblätter) wird das informationelle Selbstbestimmungsrecht tangiert. Die Tarife müssen so festgelegt sein, dass sie die freie Entscheidung der betroffenen Personen nicht beeinflussen. Daraus folgt: 4.1. Im A yh 01 (212.09) wird vom «Absender» gesprochen, dem die neue Adresse bekannt gegeben werden soll. Der Postkunde nimmt daher an, dass bereits eine Sendung aufgegeben ist oder dies mindestens beabsichtigt wird. Die Adressaktu- alisierung wird jedoch allen Interessierten angeboten unabhängig davon, ob sie eine Postsendung aufgegeben haben oder sie eine Aktualisierung aus völlig andern Gründen wünschen. Die Formulierung ist daher intransparent und irreführend. Deshalb muss «Darf qr6irqr , der pu über Ihre alte Adresse verfügt ...» z.B. durch «Darf rvr Qr , die über Ihre alte Adresse verfügt ...» ersetzt werden. Im Hr xiyh 212.09.1 zum Formular 01 wird unter «X Ja» erwähnt: «Ihre Adresse wird in keinem Fall an Dritte verkauft oder vermietet, sondern lediglich zur Aktuali- sierung bestehender Adressdatenbanken verwendet». Unter «X Nein» steht: «Ihre Adresse wird nicht an Dritte weitergegeben». Diese Darstellung gibt dem Kunden den Anschein, die Auswahl habe einen Einfluss auf eine allfällige Bekanntgabe an Dritte, die nicht über die alte Adresse verfügen. Wie die Schweizerischen Post dem EDSB versichert hat, findet weder bei «X Ja» noch bei «X Nein» eine Weitergabe an Dritte statt. Der Eindruck, dass die Post mit verwirrlichen Formulierungen versucht, den Kunden zum Ankreuzen des «X Ja» zu bewegen, kann nicht ganz von der Hand gewiesen werden. Daher muss eine verständliche Aussage (z.B. «Einer Person, die nicht über Ihre alte Adresse verfügt, geben wir keine Ihrer Adressen bekannt») in den ersten Abschnitt des Merkblattes (gültig für «X Ja» und «X Nein») eingefügt werden.
Tätigkeitsbericht 2000/2001 des EDSB
121 Aussagen über Weitergabe, Verkauf oder Vermietung unter den Titeln «X Ja» und «X Nein» sind zu streichen. 4.2. Die Q rvqvssr r zwischen den zwei Varianten (Zustimmung oder Untersagung der Adressaktualisierung für Dritte) ist derart hoch, dass sie das informationelle Selbst- bestimmungsrecht der betroffenen Personen verletzt. Um die freie Entscheidung der Postkundinnen und –kunden nicht zu beeinflussen, wäre es anzustreben, dass beide Varianten gleich viel kosten. Wer eine Adressaktualisierung für Dritte untersagt, wird die meisten regelmässigen Absender direkt über seine neue Adresse informieren. Trotzdem wird in den meisten Fällen die Anzahl der fehlgeleiteten Sendungen höher sein und damit auch höhere Kosten für die Post verursachen. Daher kommt ein moderater Preisunterschied in Frage, konkret akzeptiert der EDSB maximal die Erhebung des doppelten Preises, falls die Adressaktualisierung für Dritte nicht akzeptiert wird. Beispielsweise (pro Jahr) Fr. 10.- mit Aktualisierung für Dritte und Fr. 20.- ohne Aktualisierung für Dritte. Der EDSB weist zusätzlich darauf hin, dass es aus der Sicht des Datenschutzes wünschbar wäre, die Untersagung einer Datenbearbeitung (Ausübung des datenschutz- rechtlichen Abwehrrechtes) kostenlos anzubieten, wie dies beispielsweise die Deutsche Post AG tut (kostenlose ähnliche Nachsendedienstleistung, mit oder ohne Untersagung einer Adressaktualisierung). Betreffend die Kostenlosigkeit der Aus- übung der datenschutzrechtlichen Abwehrrechte siehe auch das Urteil der Eidg. Datenschutzkommission vom 12. März 1999 (ISDN-Rufnummerunterdrückung) in VPB 64.73. DDD6st qqvrr @ 2ttrrsvruyqr @vqt9hrpuirhs htr)
9@S@D9B@IBTTDT8C@ 96U@IT8CVUa7@6VAUS6BU@ Der Beauftragte: O. Guntern
122 #" @sruytvThpur9 trrvqr Gru r
Bern, den 22. Februar 2001
@HQA@CGVIB
tr2
6 !(6i"qr7qrtrrr:ir qr9hrpu9TBTS!"$
vThpur
9 trrvqr Gru rirvCsshGhSpur6B
D 9r @vqt9hrpuirhs htr@9T7ryysr)
1999 sind wir von verschiedenen Seiten auf die Drogentests bei der Hoffmann-La Roche AG aufmerksam gemacht worden. Den entsprechenden Angaben zufolge führt die genannte Firma sowohl bei der Rekrutierung als auch während der gesamten Lehre stichprobenartige Drogentests durch. Mit Schreiben vom 22. Dezember 1999 sind wir an die genannte Firma gelangt und haben von Ihr die Beantwortung von Fragen in Zusammenhang mit der Rechtmässigkeit von Drogentests verlangt. Wir haben uns insb. über Zweck, Freiwilligkeit, Testbedingungen, gesetzliche Grundlagen und Folgen der Verweigerung solcher Tests erkundigen wollen.
Mit Schreiben vom 17. Januar 2000 hat die Hoffmann-La Roche AG zu den gestellten Fragen Stellung genommen. Das Drogenkonzept wird im wesentlichen mit dem Bestreben gerechtfertigt, den Auszubildenden eine drogenfreie Lehrzeit anzubieten sowie die Sicherheit und den Gesundheitsschutz an allen Arbeitsplätzen zu gewährleisten. Die Drogentests finden bei der ärztlichen Eignungsuntersuchung im Rahmen der Rekrutierung, bei Lehrbeginn sowie stichprobenartig während der ganzen Lehre statt. Ausserdem führt die Hoffmann-La Roche aus, die Lehrlingen werden beim Antritt der Lehrstelle über die Drogentests informiert. Die Verweigerung eines Drogentests stellt an sich einen Verstoss gegen die vereinbarten Abmachungen dar. Bis heute sind keine Testsverweigerungen vorgekommen. Zum Schluss sichert die Hoffmann-La Roche AG zu, dass Ihre Betriebsärzte dem Arztgeheimnis unterstehen. Letztere dürfen einen positiven Befund eines Drogentests der Lehrlingsleitung mitteilen.
In der Folge fand eine Besprechung zwischen der Hoffmann-La Roche AG und uns statt. Die Hoffmann-La Roche erörterte Ihren Standpunkt und ersuchte uns, die Empfehlung zurückzuziehen. Aufgrund der auseinandergehenden Auffassungen bezüglich der Zulässigkeit von Drogentests hielten wir an die Empfehlung fest, beschlossen aber zugleich, Letztere nicht vor Publikation eines ”Berichtes über Drogentests in der Lehre” einer im nachhinein eingesetzten Arbeitsgruppe vor der Eidg. Datenschutzkommission zu bringen. Mit Schreiben vom 31. Mai 2001 gelangte die Hoffmann-La Roche AG nachmals beim EDSB und hob die wichtigsten Punkten der gemeinsamen Diskussion nochmals hervor.
Im Rahmen eines Hearings der Arbeitsgruppe ”Drogentests in der Lehre”, bestehend aus der Schweiz. Fachstelle für Alkohol- und andere Drogenprobleme, dem Staatssekretariat für Wirtschaft, dem Bundesamt für Gesundheit, dem Bundesamt für Justiz und dem EDSB
Tätigkeitsbericht 2000/2001 des EDSB
123 selber, konnte die Hoffmann-La Roche AG Ihre Argumente für die Durchführung von Drogentests nochmals darlegen. 5. Am 16. Februar 2001 hat die genannte Arbeitsgruppe das Bericht über Drogentests in der Lehre publiziert (vgl. Beilage). Dabei wird sowohl der Gesundheitsschutz als auch die Obhutspflicht des Arbeitgebers gegenüber dem Lehrling als Rechtfertigungsgründe für Drogentests ausgeschlossen und das überwiegende Sicherheitsinteresse samt Einwilligung des Lehrlings als einzige Rechtfertigung solcher Tests betrachtet. 6. Nach Neubeurteilung der Fakten wird die Empfehlung vom 30. März 2000 durch die vorliegende Empfehlung ersetzt.
DD 9r @9T7vruv@ 2tt)
Gegen das Ziel einer Firma, die Sicherheit und Gesundheit am Arbeitsplatz sowie die Unterstützung Auszubildender zu gewährleisten, ist nichts einzuwenden, sofern die Persönlichkeit der betroffenen Personen respektiert wird. Dass Drogenkonsum am Arbeitsplatz gravierende Folgen haben kann, wie z. B. erhöhtes Unfallrisiko, die Gefähr- dung der öffentlichen Sicherheit oder des Arbeitsklimas, die finanziellen Einbussen des Unternehmens, die Gesundheit der anderen Mitarbeiter, usw., ist unbestritten. Ein Unternehmen ist demzufolge grundsätzlich berechtigt, Massnahmen zu treffen, um ihren Mitarbeitern und Lehrlingen die bestmöglichen Arbeitsbedingungen zu bieten (vgl. Art. 328 des Schweiz. Obligationenrechtes, OR, SR 220). Die ärztliche Massnahme der Urinanalyse stellt jedoch einen Eingriff in die Persönlichkeit der untersuchten Person dar und setzt das Bestehen eines überwiegenden Rechtfertigungsgrundes voraus. Nur ein gegenüber dem Persönlichkeitsschutz überwiegendes Sicherheitsinteresse, verbunden mit der Einwilligung des Lehrlings, kann einen Drogentest rechtfertigen.
Störend am Drogenkonzept der Hoffmann-La Roche AG ist zuerst das Fehlen eines überwiegenden Sicherheitsinteresses. Ein überwiegendes Sicherheitsinteresse ist bspw. dann gegeben, wenn die Verletzung einer Sicherheitsnorm zur Gefährdung des Lebens des Lehrlings oder von Dritten führen kann. Die Übertretung von Sicherheitsnormen z. B. im Bereich des Luft- und Zugsverkehrs kann zur Gefährdung des Lebens der Passagiere führen. Zu denken ist auch an Arbeiten auf dem Bau – wie Gerüstbau, Arbeiten auf Dächern oder bei Kranführern – und an den Umgang mit gefährlichen Stoffen. In solche Fällen können Drogentests, sofern sie nur stichprobenartig und im Rahmen eines bestimmten, im Arbeitsvertrag umschriebenen Sicherheitsmassnahmenpakets vorgenom- men werden – vom Arbeitgeber präventiv angeordnet werden. Flächendeckende Tests sind hingegen unverhältnismässig. Die Hoffmann-La Roche AG hat ein überwiegendes Sicherheitsinteresse nicht belegt. Sie stützt Ihre Argumentation vor allem auf die erweiterte Fürsorgepflicht des Arbeitgebers, auf die Drogenprävention und auf den Persönlichkeitsschutz. Schon aus diesem Grund sind die flächendeckenden Drogentests bei der Hoffmann-La Roche AG unzulässig. Andere effiziente Sicherheitsvorkehren (z. B. ISO-Normen für die Gewährleistung der Produktqualität, Vorschriften der Arbeitssicher- heit) können die Sicherheit ohne Eingriff in die besonders schützenswerte Gesund- heitssphäre des Lehrlings gewährleisten (Verhältnismässigkeits- und Zweckmässigkeits- prinzip, Art. 328b OR sowie Art. 4 Abs. 2 und 3 DSG).
Unverhältnismässig und unzweckmässig ist auch die Erhebung von Gesundheitsdaten anhand des Fragebogens ”Ärztliche Eignungsuntersuchung für Lehrlinge”, da die meisten dadurch erhobenen Daten mit der Eignung des Lehrlings für das Arbeitsverhältnis oder mit der Durchführung des Lehrvertrages mit der Hoffmann-La Roche AG in keinem Zusammenhang stehen. Daran vermag auch die Tatsache nichts zu ändern, dass der
Tätigkeitsbericht 2000/2001 des EDSB
124 Fragebogen nicht von der Hoffmann-La Roche AG selber entworfen worden ist. Der Fragebogen wurde scheinbar für die Gesundheitsabklärung sämtlicher möglichen Lehrverhältnisse konzipiert, ohne Berücksichtigung der Unterschiede zwischen verschiedenen Lehrstellen. So kann die Bearbeitung bestimmter Datenkategorien für die Besetzung gewisser Lehrstellen nötig sein, für andere hingegen nicht. 4. Die Einwilligung alleine stellt keinen gültigen Rechtfertigungsgrund für Drogentests dar, da ohne überwiegendes Sicherheitsinteresse der unabänderliche Persönlichkeitsschutz andere Interessen des Arbeitgebers überwiegt (Art. 362 OR). Grundsätzlich gilt, dass die Vornahme von Drogentests ohne überwiegendes Sicherheitsinteresse einen unverhältnis- mässigen Eingriff in die Persönlichkeit des Lehrlings darstellt und auch nicht bei Einwilligung des Lehrlings gerechtfertigt ist. Die Einwilligung alleine würde ausnahms- weise dann einen genügenden Rechtfertigungsgrund darstellen, wenn die Vornahme von Drogentests zugunsten des Lehrlings erfolgen würde. In solchen Fällen müsste die Einwilligung insbesondere frei sein. Von freier Einwilligung ist dann die Rede, wenn deren Verweigerung keine Folgen für den Lehrling hat. Dies ist im Drogenkonzept der Hoffmann-La Roche AG nicht der Fall, da die Verweigerung der Einwilligung Konse- quenzen auf den Abschluss bzw. Weiterführung des Lehrvertrages hat. 5. Der Arzt ist aufgrund des Arztgeheimnisses verpflichtet, dem Arbeitgeber nur einen ärztlichen Befund über die Eignung einer Person zur Besetzung einer bestimmten Lehrstelle bekannt zu geben (”geeignet” bzw. ”nicht geeignet”). Weitergehende Gesund- heitsdaten (z. B. die Angabe, ob das Drogentest bei einem Lehrling positiv ausgefallen ist) dürfen dem Arbeitgeber nicht bekannt gegeben werden. Vollmachten, die den Arzt in Zusammenhang mit Urintests vom Arztgeheimnis befreien sollten, sind nichtig. Es ist einzig der Fall denkbar, dass im Rahmen eines umfassenden Begleitprogramms des Arbeitgebers gewisse andere unabdingbare Informationen vom Arzt weitergegeben werden dürfen, sofern der betroffene Lehrling seine Einwilligung dazu gegeben hat. 6. Nicht zu vergessen ist auch die Tatsache, dass der Arbeitsvertrag auf gegenseitiges Vertrauen beruht. Letzteres kann u. a. dadurch tangiert werden, dass der Arbeitgeber ohne jeglichen konkreten Verdacht auf Drogenkonsum präventiv fahndet, indem er besonders schützenswerte Gesundheitsdaten über sämtliche Lehrlinge (auch diejenigen, die keine Drogen konsumieren) systematisch vor und auch während der Lehre mit Fragebögen und Urintests bearbeitet. 7. Drogentests können nicht mit dem Gesundheitsschutz gemäss Art. 328 OR und Art. 6 des Arbeitsgesetzes (ArG, SR 822.11) begründet werden. Die zu treffenden Massnahmen des Gesundheitsschutzes gemäss diesen Bestimmungen sind arbeitsbedingt und bewirken Änderungen im Arbeitsumfeld. Dies ist bei Drogentests nicht der Fall, weshalb sie nicht mit der Pflicht des Arbeitgebers, die Gesundheit des Arbeitnehmers zu schützen, begründet werden können. 8. Obwohl dem Arbeitgeber einer erweiterte Fürsorgepflicht gegenüber Lehrlingen obliegt, kann Letztere nicht als Rechtfertigungsgrund von Drogentests betrachtet werden, wenn bestimmte Voraussetzungen nicht erfüllt sind. Es muss insbesondere eine Abwägung zwischen Arbeitgeber- und Lehrlingsinteressen vorgenommen werden. Bei dieser Abwägung hat der - im Lehrverhältnis besonders wichtige - Persönlichkeitsschutz des Lehrlings den Vorrang und die Problematik des Drogenkonsums im Betrieb muss ganzheitlich betrachtet werden. Dies setzt voraus, dass der Arbeitgeber seine Aufmerk- samkeit nicht auf die Drogen und Drogentests fokussiert, sondern konstruktive Hilfsmass- nahmen anbietet und Drogenprävention betreibt. Drogentests sind Fahndungs- und Personalbewirtschaftungsinstrumente, welche zur erweiterten Fürsorgepflicht des Arbeitgebers gegenüber Lehrlingen nicht passt.
125
DDD6st qqvrr @ 2ttrrsvruyqr @9T7)
@D9B@IBTTDT8C@S 96U@IT8CVUa7@6VAUS6BU@S Der Beauftragte:
O. Guntern