@vqtrvpur Q sq hyyh 9hrpuirhs htr rpvqrqr
((%(& ((%(&
Uvtxrvir vpu ((%(&qr@vqtrvpur9hrpuirhs htr " Dieser Bericht ist auch über das Internet (www.edsb.ch ) abrufbar
Sh qhpvv ((%(&qQ sq hyyh rpvqrqr ! Ce rapport est également disponible sur Internet (www.edsb.ch )
@vqtrvpur 9hrpuirhs htr
Uvtxrvir vpu ((%(&
Der Eidgenössische Datenschutzbeauftragte hat dem Bundesrat periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 Datenschutzgesetz). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 1996 und 31. März 1997 ab.
*: Originaltext auf Französisch DIC6GUTW@Sa@D8CIDT
DIC6GUTW@Sa@D8CIDT# 67F7SaVIBTW@Sa@D8CIDT& D 6VTB@XCGU@UC@H@I' Qyvrvrr' 1.1. Spielbankengesetz 8 1.2. Anschluss der Kantone an ISIS 8 1.3Das Datenverarbeitungssystem DOSIS 9 Pyvrat vsshs9PTDT9hr 9
9PTDT7rh irvt rtyrr 9 U rtqr rvrtr vpuyvrvyvpur@ vytr shu rirpuhssr9hr 9hrqr tr vpuyvpurQyvrvqr7qrqqr Fhrv9PTDT 10
Dqv rxr6xs rpuv9PTDT 11 1.4. Vertrieb einer CD-ROM mit Fahrzeughalterdaten 11 1.5. Vollautomatisiertes Strafregister VOSTRA 12 ! 6yqr q6y rpu " 2.1. Polizeizugriffe auf die Asylbewerber- und Ausländerdatensammlungen des EJPD - Entscheid der EDSK 13
2.2. Projekt EVA (elektronische Visum-Ausstellung) 14 2.3. Übergreifendes Sicherheitskonzept für kantonale Anschlüsse an das ZAR 15 2.4. Vermerk «auf Stellensuche» und weitere Vermerke auf den Ausländerausweisen 16 2.5. Bekanntgabe von Asylbewerberdaten an ausländische Staaten 16 2.6. Vertrag des Bundesarchivs mit Yad Vashem über die Bekanntgabe von Daten jüdischer Flüchtlinge 17
2.7. Anhörung des EDSB zur hängigen Revision des Asylgesetzes und Ausländergesetzes 17 2.8. Verlängerung des Bundesbeschlusses über das Asylverfahren 18 " Uryrxvxhv ( 3.1. Bundesgesetz über die Überwachung des Post- und Fernmeldeverkehrs sowie den Einsatz technischer Überwachungsgeräte 19
3.2. Telecom PTT 20 DT9ISsr hrvtrr q &pxt 20 @yrx vpurUrvyrur r rvpuvr 22 9h'U@G@8PHGrpx+ 22 3.3. Post PTT 22 Qx 22 3.4. Aufzeichnung von Mitarbeiterdaten bei der Nutzung von Internet-Diensten 23
7qrr hyt 25 4.1. Inhalt des Personaldossiers und Auskunftsrecht 25 4.2. Videoüberwachung am Arbeitsplatz 26 4.3. Telefonüberwachung am Arbeitsplatz 26 4.4. Das Projekt BV-PLUS 29 4.5. INSIGHTS - Personalevaluations-System* 29 4.6. Einholen von Referenzen gegen den Willen der betroffenen Person 30 $ Wr vpur trr" Tvhyr vpur tr 31 5.1. Invalidenversicherung und Datenschutz* 31 5.2. Systematische Bekanntgabe der Diagnose an die Krankenkassen 33 5.3. Verzicht auf die Entbindung vom Arztgeheimnis beim Militärpflichtersatz 33 Q vhr vpur tr 34 5.4. Merkblatt und Einwilligungsklauseln 34 5.5. Mangelnde Vertraulichkeit von medizinischen Angaben in Versicherungsformularen 35 5.6. Automatisches «Zusammenfügen» diverser Versicherungsdossiers im Rahmen eines Versicherungsabschlusses 35
5.7. ZIS (Zentrales Informationssystem) 36
*: Originaltext auf Französisch % Brqurvrr"& 6.1. Überprüfung der obligatorischen Krankenversicherung nach KVG 37 F yyrvryrvrWr vpur thrvr 37 F yyr&ir 9hrirxhthirqr F hxrxhr 38 6.2. Medizinische Statistik der Krankenhäuser 39 6.3. Ausserkantonale Hospitalisation - Bekanntgabe von medizinischen Daten an kantonale Kostengutsprachestellen 40
6.4. Auskunftsberechtigung des Bundesamtes für Sozialversicherung gegenüber kantonalen Behörden (Kassenaufsicht) 41
6.5. Verkauf einer Zahnarztpraxis (Goodwill) 42 6.6. Medizinischer Fragebogen und die Einwilligung des Patienten für das Inkasso 42 & F rqvrr#" 7.1. Die Führung von Kreditprüfsystemen 43 7.2. Neuausstellung der Kreditkarte und digitalisierte Unterschrift 44 7.3. Breite Bekanntgabe von ZEK-Daten an die Fremdenpolizei 45 ' 9v rxh xrvt#$ 8.1. Datenbearbeitung zu Werbezwecken: Nichtbeachtung der Adress-Sperre 45 ( Thvvx#$ 9.1. Volkszählung 2000- Die Revision des Volkszählungsgesetzes 45 9.2. Unterschiede zwischen Datenbearbeitungen zu Statistik- und zu Verwaltungszwecken 48 Hvr rpu#( 10.1. Anmeldeformulare für Mietwohnungen - Der Entscheid der EDSK 49 DD 9D@FPIUSPGG@I9@T@9T7$ @vhyvtr 6ityrvpu(Avtr hiq pxqhrqr Tpurvq 9rpuyhqhvvpurarpxr$
! 7ir hputqr 6trryyrq puWvqrxhr h$! " 9hrirh irvtXr irrpxr)Ivpuirhputqr 6q rTr r $!
hqr B rr$#
$ 9vrrrDqrvxh rD9($$# DDD X@DU@S@UC@H@I$$ Wr ssryvputQr rqhr$$ 1.1. Veröffentlichung von Angaben über Hooligans in der Zeitung «Sport» 55 1.2. Veröffentlichung eines Berichts über die Vermögen der Opfer des Nationalsozialismus* 56 1.3. Veröffentlichung von nicht anonymisierten Bundesgerichtsentscheiden im Internet 57 ! avvyqvr$' 2.1. Das Datenbearbeitungssystem über den Zivildienst ZIVI 58 " 6 puvrr$( 3.1. Schutzfrist für besonders schützenswerte Personendaten und Persönlichkeitsprofile im neuen Archivgesetz 59
4.1. Das Bereitstellen von Mitarbeiterdaten durch die Bundesverwaltung im Abrufverfahren 59 4.2. Weitergabe von Daten aus der Sonderabfall-Datensammlung des BUWAL 60 4.3. Weiterleitung von ausführlichen ärztlichen Berichten direkt an die Fremdenpolizeibehörden 60 4.4. Bekanntgabe eines administrativen Untersuchungsberichts an die Geschäftsprüfungs- kommissionen* 60
$ 9hrpuq rpuyvpurShurirqvttr% 5.1. Gesetzlich vorgeschriebene Datenbearbeitung und Information der Betroffenen 61 5.2. Das Recht auf Auskunft und das Register der Datensammlungen 62 5.3. Juristische Personen und das DSG 63 5.4. Umsetzung der Anforderungen des DSG bei der Gesetzgebung 64
*: Originaltext auf Französisch 5.5. Outsourcing als Beispiel eines Konfliktes zwischen Datenschutzrecht und vertraglichen Bestimmungen 66
% 9hrpuq9hrvpur urv%% 6.1. Datensicherheit in der Bundesverwaltung 66 6.2. Schlüsselhinterlegung 67 6.3. Online-Registrierung von Software 70 & Wr puvrqrr& 7.1. Handel mit Daten aus dem Handelsregister 70 7.2. Anforderungen an die Briefcouverts im Postversand (Honorarrechnungen, Zahlungsverkehr) 71
DW DIU@SI6UDPI6G@T&! 7rv v @ h hxrvEir qr9hrpu&! ! @ h h&! " Dr hvhyrFsr rqr 7rhs htrsE qr9hrpu&"
$ 7vyhr hyrqyvyhr hyr6ixrEir qvrSEpxEir hurq 9 puirs qr trurhyvtrF vrtsyEpuyvtr&#
% 9vr6shurrvr 9hrpuxyhryvqhWvr rvvtr7ir rvxr 68C9AGv7r rvpuqr TvhyrTvpur urv&%
W S@BDTU@S9@S96U@IT6HHGVIB@I96U6S@B&& Wr hytrqrSrtvr qr 9hrhytr&& ! QiyvxhvqrSrtvr qr 9hrhytr&' WD 9@S@D9B@IJTTDT8C@96U@IT8CVUa7@6VAUS6BU@ &( 6htqrTrx rh vh&( ! 6sthirrvpxyt&( " Ds hvqr Jssryvpuxrv&( 9r @9T7vDr r 80
" 9hrpuvDr rK7qhr7r yvHr hqL("
rqvvvpur7r rvpu !
$ 9hrpuirvtrvs ryyrBrrr " % @HQA@CGVIB@Iqr@9T7 # 6.1. Empfehlung über die Einführung des Datenbearbeitungssystems bezüglich des Personals der Bundesverwaltung BV-PLUS 104
6.2. Empfehlung über die Produktion und Vertrieb des Verzeichnisses der schweizerischen Fahrzeughalter auf CD-ROM 110
6.3. Empfehlung über die Rufnummernanzeige im Dienstintegrierenden Digitalen Netz (ISDN) 115
67F7SaVIBTW@Sa@D8CIDT
AHVG Bundesgesetz über die Alters- und Hinterlassenenversicherung AHVV Verordnung über die Alters- und Hinterlassenenversicherung AUPER Automatisiertes Personenregistratursystem BAP Bundesamt für Polizeiwesen BSV Bundesamt für Sozialversicherung BUWAL Bundesamt für Umwelt, Wald und Landschaft DOSIS VO Verordnung über das Datenverarbeitungssystem zur Bekämpfung des illegalen Betäubungsmittelhandels DSG Bundesgesetz über den Datenschutz EDA Eidgenössisches Departement für auswärtige Angelegenheiten EDSK Eidgenössische Datenschutzkommission EJPD Eidgenössisches Justiz- und Polizeidepartement EMRK Europäische Menschenrechtskonvention EPA Eidgenössisches Personalamt ETV Die Elektronischen Telefonverzeichnisse EVD Eidgenössisches Volkswirtschaftsdepartement FMH Verbindung der Schweizer Ärzte (Foederatio Medicorum Helveticorum) GPK Geschäftsprüfungskommission des Nationalrates GVG Bundesgesetz über den Geschäftsverkehr der Bundesversammlung (Geschäftsverkehrsgesetz) HMV Schweizerischen Vereinigung der Haftpflicht- und Motorfahrzeug- Versicherer IDK Identitätskarte ISDN Dienstintegrierendes digitales Netz ISIS Staatsschutz-Informations-System ISIS-VO Verordnung über das provisorische Staatsschutz-Informations-System IV Invalidenversicherung KVG Bundesgesetz über die Krankenversicherung KVV Verordnung über die Krankenversicherung PKU Schweizerische Vereinigung privater Kranken- und Unfallversicherer RIPOL Automatisiertes Fahndungssystem StGB Schweizerisches Strafgesetzbuch URG Urheberrechtsgesetz VDSG Verordnung zum Bundesgesetz über den Datenschutz VPB Verwaltungspraxis der Bundesbehörden ZAR Zentrales Ausländerregister ZEK Zentralstelle für Kreditinformation ZS BM Zentralstelle für die Bekämpfung des unerlaubten Betäubungsmittel- handels ZSG Bundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes
D 6VTB@XCGU@UC@H@I
Qyvrvrr
1.1. Spielbankengesetz
DShurqr r xyhvuhrv qvrHtyvpuxrv@ sqr7 qrtrrrEir qhByEpxvryqEir qvrTvryihxrTvryihxrtrr vrqr qhtru vtr7puhsTryytrur
Uns wurde vom Bundesamt für Polizeiwesen (BAP) die Möglichkeit gegeben, zum Entwurf des vorgenannten Bundesgesetzes sowie der dazugehörigen Botschaft im Rahmen der Ämterkonsultation Stellung zu nehmen. Das Spielbankengesetz regelt die Bedingungen im Zusammenhang mit der Führung von Spielbanken. Aus sozialen Gründen sowie aus Eigeninteressen der Spielbanken dürfen diese die Identität der Spieler prüfen sowie unter bestimmten Bedingungen Spielsperren verhängen und Darlehen gewähren. Die Spielbanken haben die verhängten Spielsperren an andere Spielbanken weiterzuleiten. Bei Verdacht von Geldwäscherei ist dies der Meldestelle für Geldwäscherei zu melden. Die Spielbanken sollen dem Bundesgesetz zur Be- kämpfung der Geldwäscherei im Finanzsektor unterstellt werden. Nach diesem Ge- setz führt die Zentralstelle für organisierte Kriminalität des Bundesamtes für Polizei- wesen die Meldestelle für Geldwäscherei. Bestehende Differenzen bezüglich Art und Umfang der Informationsbeschaffung seitens der Spielbanken im Zusammenhang mit der Verhängung von Spielsperren und der Gewährung von Darlehen sowie der Speicherung und Löschung von Daten konnten ausgeräumt werden. Zu beobachten bleibt jedoch von unserer Seite die Entwicklung der vorgesehenen Unterstellung der Spielbanken unter das Geldwäschereigesetz und die damit verbundene Da- tenweitergabe an die Meldestelle für Geldwäscherei. Auch hoffen wir, frühzeitig in die Ausarbeitung der zum Spielbankengesetz gehörenden Verordnung einbezogen zu werden.
1.2. Anschluss der Kantone an ISIS
9vrTpurvr vpur7qryvrvsEu @ sEyytvu r 6sthirqhThh puDs hvTrDTDTCvr irvuhqryrrvpu EtyvpurvDry r6qvrrvqq puSrvvqr DTDTWr qtTryyrrFh rhtrpuyr qr
Gemäss der Verordnung über das provisorische Staatsschutz-Informations-System (ISIS-Verordnung) betreibt die Schweizerische Bundespolizei zur Erfüllung ihrer ge- setzlichen Aufgaben ein provisorisches informatisiertes Staatsschutz-Informations- System (ISIS). ISIS war ursprünglich als Inselsystem angelegt. Es entstand jedoch seitens der Staatsschutzbehörden bald das Bedürfnis, dass auch Staatsschutzorga- ne von Kantonen einen Direktanschluss an ISIS erhielten. Dementsprechend hat bereits 1994 die Schweizerische Bundesanwaltschaft den revidierten Entwurf der ISIS-Verordnung in die Ämterkonsultation geschickt, der den Direktanschluss von mit eidgenössischem Staatsschutzaufgaben betrauten kantonalen Organen an ISIS vor- sah. Bereits damals haben wir die Gelegenheit zur Stellungnahme wahrgenommen und konkrete Änderungsvorschläge unterbreitet. Im Jahre 1996 verwiesen wir in ei-
ner weiteren Ämterkonsultation im wesentlichen auf unsere frühere Stellungnahme. Inhaltlich wurde unseren Forderungen
1.3. Das Datenverarbeitungssystem DOSIS
Pyvrat vsshs9PTDT9hr
9vrar hyryyrsE qvr7rxstqrr yhir7ritvryr xru aT 7Hqr7qrhrsE Qyvrvrr76Qr sEt 7rxstqrvyyrthyr 9 truhqryEir qh9hrr hirvtr9PTDT@uhirvryrQr rPyvrat vsshsqvrv9PTDTtrrvpur rQr rqhr
Gemäss dem Bundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes (ZSG) führt das Bundesamt für Polizeiwesen (BAP) die Zentralstelle für die Bekämp- fung des unerlaubten Betäubungsmittelhandels (ZS BM). Die ZS BM verfügt gemäss Verordnung über das Datenverarbeitungssystem zur Bekämpfung des illegalen Dro- genhandels (VO DOSIS) über das Datenverarbeitungssystem DOSIS. In der VO DOSIS ist ausdrücklich festgelegt, dass nur die ZS BM und die Betäubungsmittel- dienste der kantonalen Polizeikorps durch Abrufverfahren an DOSIS angeschlossen werden dürfen. Anhang 2 zur VO DOSIS dehnt jedoch die Zugriffsberechtigungen contra legem auf Mitarbeiter des BAP aus, die nicht Mitarbeiter der ZS BM sind. Wir haben das BAP mit einem Schreiben auf diesen Umstand aufmerksam gemacht und es aufgefordert, bei der Datenbearbeitung in DOSIS unseren Ausführungen Rech- nung zu tragen. In diesem Zusammenhang ist zu prüfen, ob eine Revision von ZSG und VO DOSIS an die Hand zu nehmen ist, um den vor allen Dingen im Spannungsfeld organisierte Kriminalität/Drogenhandel auftretenden Problemen gerecht zu werden.
9PTDT7rh irvt rtyrr
BrWr qt7qrtrrEir qr9hrpuW9TBvqqvr7 qr thrqvrhhvvr r9hrhytrir rvirr irvr7r qvttr @ ryytrvr7rh irvt rtyrrrr syvpur9h7qr hsE Qyvrvrr76Quhqh7rh irvt rtyrrsE qh9hrirh irv tr9PTDTr ryy
Gemäss VDSG müssen Bundesorgane, die automatisierte Datensammlungen füh- ren, ein Bearbeitungsreglement erstellen, wenn die Datensammlung besonders schützenswerte Personendaten oder Persönlichkeitsprofile enthält, die Datensamm- lung durch mehrere Bundesorgane benutzt, Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich gemacht wird o- der mit anderen Datensammlungen verknüpft ist. Mit 1. August 1996 wurde der Be- trieb des Datenverarbeitungssystems DOSIS endgültig aufgenommen. Dies benötig- te vom BAP ein Bearbeitungsreglement für DOSIS. Uns wurde während der Ausar- beitung des Bearbeitungsreglementes die Möglichkeit zur Mitarbeit geboten. Auf die- se Weise konnten wir auf verschiedene Aspekte hinweisen, die aus Sicht des Da- tenschutzes problematisch oder gar unzulässig waren. Leider konnten in einem we- sentlichen Punkt die Differenzen nicht bereinigt werden. Gemäss der VO DOSIS sind an DOSIS neben der ZS BM auch die Betäubungsmitteldienste der kantonalen Poli- zeikorps im Abrufverfahren angeschlossen. In dem vom BAP ausgearbeiteten Bear- beitungsreglement wird unseres Erachtens dieser Kreis der Zugriffsberechtigten un- zulässigerweise ausgeweitet. Das Bearbeitungsreglement sieht vor, dass auch Mit- arbeiter der Polizeikorps, die nicht einem Betäubungsmitteldienst angehören, zur Erfüllung rechtlicher Aufgaben an DOSIS angeschlossen werden können. Wir sind der Auffassung, dass für diese Ausweitung der Zugriffsberechtigungen keine recht- liche Grundlage in der VO DOSIS besteht. Die Umsetzung des Bearbeitungsregle- mentes in die Praxis wäre somit rechtswidrig. Im übrigen müssen wir feststellen, dass es sich bei dem Bearbeitungsreglement mit seinen integrierten Anhängen um ein umfangreiches Werk handelt, bei dessen Aus- arbeitung sich das BAP sehr viel Mühe gegeben hat.
U rtqr rvrtr vpuyvrvyvpur@ vytr shu rirpuhssr9h r9hrqr tr vpuyvpurQyvrvqr7qrqqr Fhrv9PTDT
D9hrr h irvtr9PTDT 7rxstqrvyyrthyr7ritv ryuhqryr qruy9hrirh irvrqvrvrvrtr vpuyvrvyvpur@ v ytr shu rhyhpu9hrqvr @vyrvtrvrtr vpuyvrvyvpur@ v ytr shu rr uir qr9vrr9hrvqyh7qrtrrEir qvrar hyryyrqr7qrtr rsEu r
Die Zentralstelle für die Bekämpfung des unerlaubten Betäubungsmittelhandels (ZS BM) des Bundesamtes für Polizeiwesen (BAP) führt das Datenverarbeitungssystem DOSIS zur Bekämpfung des illegalen Betäubungsmittelhandels. In diesem System werden zum einen Daten über Personen gespeichert und bearbeitet, die im Rahmen eines gerichtspolizeilichen Ermittlungsverfahren beschafft wurden, zum anderen Da- ten der gerichtlichen Polizei des Bundes und der Kantone. Das Bundesgesetz über kriminalpolizeiliche Zentralstellen des Bundes (ZSG) schreibt vor, dass diese Daten in DOSIS getrennt zu führen sind. Eine Trennung in einem Datenverarbeitungssystem kann grundsätzlich physisch oder logisch erfolgen. Auf eine physische Trennung, d.h. das Führen zweier Datenbanken, wurde vorlie- gend verzichtet. In DOSIS erfolgt jedoch keine obligatorische, logische Trennung der Daten. Vielmehr werden die Daten lediglich auf einer Einheitsmaske mit «GerPol Ja/Nein» gekennzeichnet. Wir haben das BAP in einem Schreiben darauf hingewie- sen, dass der bestehende Zustand unseres Erachtens gegen das Gesetz verstösst, und haben gefordert, die Datenbearbeitung in DOSIS unseren Ausführungen ent- sprechend anzupassen.
Die Beurteilung, ob es sich um Daten, die vor Einleitung eines gerichtspolizeilichen Ermittlungsverfahrens beschafft wurden, oder um Daten der gerichtlichen Polizei der Kantone handelt, richtet sich nach den zum Teil sehr unterschiedlichen kantonalen Strafprozessordnungen. Dies kann je nach Kanton zu einer Ungleichbehandlung ein und derselben Information und damit zu Praktikabilitätsproblemen führen.
Dqv rxr6xs rpuv9PTDT
9h6xs rpuqr7E tr virthsrvrtyvpurTrvpur tvqr9h rr h irvtr9PTDTr purvqrvpuqrq puqh9TB trr urr6xs rpuvr uriyvpur Xrvr)@vrvvqv rxr6xs rpuqh Eir qr@vqtrvpur9hrpuirhs htrhtrEir qr
Das DSG sieht ein Auskunftsrecht vor, das jeder Person das Recht gibt, vom Inha- ber einer Datensammlung Auskunft darüber zu verlangen, ob Daten über sie bear- beitet werden. Die betroffene Person gelangt mit ihrem Auskunftsbegehren direkt an den Inhaber der Datensammlung. Gemäss der VO DOSIS kann die betroffene Person lediglich in den Fällen, in denen der Bund die gerichtspolizeilichen Ermittlungsverfahren geführt hat, direkt beim In- haber der Datensammlung Auskunft verlangen. Bezüglich der Daten, die vor Einlei- tung eines gerichtspolizeilichen Ermittlungsverfahrens beschafft wurden, und der Daten der gerichtlichen Polizei der Kantone gilt - wie bereits in unserem 2. Tätig- keitsbericht S. 10 ff. - ausgeführt, das sogenannte indirekte Auskunftsrecht. Dieses richtet sich nach den Bestimmungen des Bundesgesetzes über kriminalpolizeiliche Zentralstellen des Bundes, die wesentlich von den Bestimmungen des DSG abwei- chen. Demzufolge muss die betroffene Person bei uns nachfragen, ob in DOSIS Da- ten rechtmässig bearbeitet werden. Wir haben der gesuchstellenden Person in einer stets gleichlautenden Antwort mitzuteilen, dass über sie entweder keine Daten un- rechtmässig bearbeitet werden oder dass wir bei Vorhandensein allfälliger Fehler in der Bearbeitung eine Empfehlung zu deren Behebung an die ZS BM gerichtet ha- ben. Dieses indirekte Auskunftsrecht ist sowohl für die betroffene Person unbefriedi- gend als auch für uns untragbar. Die betroffene Person erhält keine klare Antwort, ob und wenn ja welche Daten über sie bearbeitet werden. Für uns bedingt das indi- rekte Auskunftsrecht, dass wir einerseits im Datenverarbeitungssystem DOSIS kon- trollieren müssen, ob und welche Daten über die betreffende Person bearbeitet wer- den. Andererseits müssen wir die zum Teil sehr umfangreichen, auf Papier geführten Dossiers, die nicht immer nur eine bestimmte Person, sondern auch ganze Operati- onen betreffen können, durcharbeiten, um beurteilen zu können, ob die Erfassung und Bearbeitung der Daten in DOSIS rechtmässig erfolgt ist. Um tatsächlich Richtig- keit und/oder Rechtmässigkeit der Datenbearbeitung feststellen zu können, müssten auch wir Daten über die anfragende Person sammeln und bearbeiten. Dadurch wür- den wir selber zu Dateninhabern. Dies wäre jedoch mit der uns vom Gesetz übertra- genen Aufgabe der Kontrollstelle nicht vereinbar und nicht akzeptabel. Im Jahr 1996 wurde an uns erst ein Gesuch um Auskunft gerichtet.
1.4. Vertrieb einer CD-ROM mit Fahrzeughalterdaten
@vr89SPHv9hrEir Ahu rtuhyr qrvqr trhrTpurvv 6hurqrFhE hr vrir9vrr wrqputrtrqvr7rv trqr9hrputrrrqqr T hrr xru trrtritDrvr
@sruytr yhtrv puyvryvpuqvr@vryytqr Q qxvqqrWr vriqr 89SPH
Wir wurden von verschiedenen kantonalen Datenschutzstellen und Strassenver- kehrsbehörden auf den Vertrieb eines Verzeichnisses der schweizerischen Fahr- zeughalterdaten auf CD-ROM aufmerksam gemacht. Die entsprechende Firma wur- de vom uns aufgefordert, die Produktion und den Vertrieb der CD-ROM bis zur Klä- rung des Sachverhaltes einzustellen. Sie bestätigte die provisorische Einstellung der Produktion und des Vertriebs der CD-ROM und nahm zu unseren Fragen schriftlich Stellung. Nach Klärung des Sachverhaltes stellte sich heraus, dass die Richtigkeit der Daten nicht gewährleistet ist und die Suchoptionen weitergehende Abfragemög- lichkeiten erlauben. Ausserdem wurde festgestellt, dass die Daten von den offiziellen kantonalen Fahrzeughalterverzeichnissen übernommen und auf CD-ROM veröffent- licht wurden. Gemäss der Strassenverkehrsgesetzgebung dürfen Name und Vorname eines Fahr- zeughalters nur aufgrund des Fahrzeugschildes gesucht und bekanntgegeben wer- den. Damit hat der Gesetzgeber die Möglichkeiten der Bearbeitung von Fahrzeughal- terdaten auf ein Minimum beschränken wollen, um schwerwiegende Eingriffe in die Persönlichkeit eines Fahrzeughalters zu vermeiden. Die vorgenannte CD-Rom er- laubt hingegen umfassende Suchkriterien (nach Name, Gemeinde, Postleitzahl, Kon- trollschild) und somit praktisch unbeschränkte Suchmöglichkeiten. Dadurch wird nicht nur die Strassenverkehrsgesetzgebung, sondern auch das datenschutzrechtli- che Verhältnismässigkeitsprinzip tangiert. Nach den einschlägigen Bestimmungen des Strassenverkehrsgesetzes ist die Bearbeitung von Fahrzeughalterdaten dem Bund vorbehalten. Dabei werden die Fahrzeughalterdaten zu Zwecken bearbeitet und veröffentlicht, die in einem direkten Zusammenhang mit der Erfüllung der stras- senverkehrsrechtlichen Aufgaben, insbesondere mit der Erfüllung polizeilicher Auf- gaben, stehen. Der Vertrieb der Fahrzeughalterdaten stellt jedoch eine kommerzielle Tätigkeit dar, die mit den Zielen der Strassenverkehrsgesetzgebung in keinem Zu- sammenhang steht. Dadurch wird neben der Zuständigkeitsregelung auch das Prinzip des Zweck- bindungsgebotes verletzt. Durch das Vertreiben falsch eingescannter und teilweise nicht aktualisierter Daten wird im übrigen das Gebot der Richtigkeit missachtet. Wir haben schliesslich empfohlen, die Produktion und den Vertrieb der CD-ROM definitiv einzustellen.
1.5. Vollautomatisiertes Strafregister VOSTRA
9hivurrhsQhvr trsEu rT hs rtvr yyhhvvr r qrQ wrx WPTUS6DT hs rtvr r qrr hqr rirqr puErr rQr rqhrirh irvr@vqruhyirqvtqhrrTrvrvrs ryyr Brrr hxr a arvv qrvQvyr puvrvvtrFhrq putr sEu qr iv@qr (('irs vrv
Die Sektion Strafregister des Bundesamtes für Polizeiwesen führt ein Register über alle Personen, die auf dem Gebiet der Eidgenossenschaft verurteilt worden sind, sowie über alle im Ausland verurteilte Schweizer. Durch die Automatisierung des Registers soll die Verwaltung der Urteils- bzw. Strafregisterauszüge effizienter ges- taltet werden. Das dafür geplante Projekt VOSTRA als Online-Applikation mit beson- ders schützenswerten Personendaten benötigt in Anlehnung an das Datenschutzge- setz ein formelles Gesetz.
Ein Augenschein beim Bundesamt für Polizeiwesen ergab, dass das Strafregister in seiner heutigen Form die ihm auferlegten gesetzlichen Aufgaben nur noch in unge- nügender Weise wahrnehmen kann. Wir haben uns deshalb mit der Änderung der Strafregisterverordnung zur Schaffung der Grundlage für den Pilotversuch mit neun Kantonen sowie dem Oberauditorat einverstanden erklärt. Die Verordnung ist bis Ende 1998 befristet. Das Bundesamt für Polizeiwesen hat sich zudem verpflichtet, bis spätestens 31. Dezember 1998 die formellgesetzliche Grundlage für den Vollbe- trieb des Systems VOSTRA zu schaffen. Die Strafregisterverordnung muss dannzu- mal total revidiert werden.
! 6yqr q6y rpu
2.1. Polizeizugriffe auf die Asylbewerber- und Ausländerdatensammlungen des EJPD - Entscheid der EDSK
6sr r7rpur qruvuhqvr@9TFqvrWr sEttrqr@EQ9hstruir qqvrThpur IrrpurvqthqvrW vh EpxtrvrrDvu rV rvyuhqvr@9TFvpuvtr9hrpus htrxyh trryyqvpuhpur r 7rpur qrirstvtrr 9h@EQ9uhtrtrqvrr@purvqirv7qr tr vpuWr hyttr vpuirpur qrrvtryrt9hv vqvrr rpuyvpur6rv hqr rtvvu sEsrEhu
In einem Sicherheitsbericht von 1992 und in zwei Empfehlungen von 1994 haben wir uns dagegen ausgesprochen, dass die Asylbewerber- und Ausländerdaten zusam- men mit Kriminaldaten gespeichert und bearbeitet werden. Zudem haben wir ver- langt, dass den verschiedenen Polizeibehörden des Bundes ohne ausreichende Rechtsgrundlagen und ohne ausreichende Sicherheitsabklärungen und - massnahmen an den verwendeten Informatikmitteln keine Online-Zugriffe auf die sensiblen Asylbewerber- und Ausländerdaten gewährt werden. Die bestehenden Zugriffsmöglichkeiten nach dem Selbstbedienungsprinzip und mit der Gefahr unkon- trollierter Datenabflüsse sollten vielmehr gestoppt bzw. auf das absolut erforderliche Mindestmass reduziert werden. Die betroffenen Ämter und das EJPD lehnten unsere Empfehlungen bzw. Wei- terziehungen ab, so dass wir mit Beschwerde an die Eidgenössische Daten- schutzkommission (EDSK) gelangen mussten. Die EDSK hiess unsere Beschwerden in wichtigen Teilen gut, hob die angefochtenen Verfügungen des EJPD auf und wies die Sache zur Neuentscheidung an das EJPD zurück. In ihrem Entscheid anerkannte die EDSK die Beschwerdebefugnis des EDSB gegen Entscheide der Departemente und der Bundeskanzlei, wenn der EDSB durch Ent- scheide dieser Behörden in der Ausübung seiner Tätigkeit erheblich beeinträchtigt wird. Wir selber hatten die Auffassung vertreten, unsere Beschwerdebefugnis ge- genüber diesen Bundesorganen ergebe sich aus unserer unabhängigen Stellung innerhalb der Bundesverwaltung und stütze sich direkt auf das Verwaltungsverfah- rensgesetz. Deshalb sei sie im Datenschutzgesetz nicht ausdrücklich erwähnt. Wei- ter erachtete die EDSK die gesetzlichen Grundlagen für die umstrittenen Online- Zugriffe jedenfalls im Zeitpunkt der Beschwerdeeinreichung als klar ungenügend. Zudem hielt die EDSK fest, dass für diese Online-Zugriffe Zugriffsprotokollierungen mit wirkungsvollen Protokollauswertungen hätten eingerichtet werden müssen. Na- mentlich die Asylbewerberdaten und in diesem Zusammenhang auch die Nationalität
seien besonders schützenswerte Angaben. Ferner seien die Daten von Personen, die nicht an einem Verfahren beteiligt sind, bei der Online-Abfrage nicht zugänglich zu machen. Überhaupt seien die Asylbewerber- und Ausländerdaten von den Straf- daten getrennt aufzubewahren und zu bearbeiten. In formeller Hinsicht verlangte die EDSK, dass die neu zu fällenden Entscheide des EJPD vollständig im Bundesblatt zu publizieren seien. Die angefochtenen Entscheide waren nur stark gekürzt im Bundesblatt publiziert worden, und auch das erst nach unserer Intervention. Das EJPD hat gegen den Entscheid der EDSK beim Bundesgericht Verwal- tungsgerichtsbeschwerde ergriffen.
2.2. Projekt EVA (elektronische Visum-Ausstellung)
9vrpurvr vpurBrpusryyrv6yhqqqvrt r rB rx yy rqr Tpurvryyrrvwrur hpuWvhh9hirviyvrtrvurr h qr rqvr6thirqr Brpuryyr hsvu rSvpuvtxrvuvEir EsrHvqr Q wrx@W6yyrryrx vpur6is htrirrurqr qrpuhssrqr 9h rhytr qr Wvhr rvytvrqr hhvvr r6q pxqr Wvhr tyvpur qr@ryyrvpu hiqvrA htrvrqvr9hrirh irvtrq hryvpuqvrwrvtrv6yhquv rvpurqtrvpur r qrxrqiqvr trryvpurB qyhtrsE qvrvtrhsht rvpurrr9hrirh irv trtrEtr
Anlässlich zweier Kontrollen im Jahr 1996 (vgl. hierzu nachfolgend S. 54) erhielten wir einen guten Einblick in die Datenbearbeitungen bei der Visaerteilung in schweizerischen Geschäftsstellen im Ausland und an schweizerischen Grenzkontrollposten. Diese Behörden stellen die Visa bzw. Sichtvermerke manuell aus. Zuvor konsultieren sie den Schweizerischen Fahndungsanzeiger und in Zweifelsfällen das Bundesamt für Ausländerfragen in Bern, welches bei Bedarf weitere Abklärungen trifft. Die Grenzkontrollstellen verfügen seit kurzem über (beschränkte) Zugriffe auf das Fahndungssystem RIPOL, das Zentrale Auslän- derregister ZAR und nunmehr auch auf die Asylbewerberdaten des AUPER. Die schweizerischen Geschäftsstellen im Ausland verfügen hingegen über keine solchen Zugriffe (mit Ausnahme von einigen grossen Botschaften, welche direkt auf das RIPOL greifen können). Missbräuchliches Verhalten von Gesuchstellern (z.B. mehrfache Gesuchseinreichung an verschiedenen Schaltern oder Grenzposten), Wartezeiten bei Abklärungen in Bern sowie der Wunsch nach einem benutzerfreundlichen Arbeitsinstrument am Schalter führten zur Projektidee der elektronischen Visa-Ausstellung. Das Projekt hat die Phase der Voranalyse durchlaufen und befindet sich zur Zeit in der Konzeptphase. Seitens des Datenschutzes haben wir die Prüfung der Frage angeregt, ob die schweizerischen Botschaften und Konsulate wirklich in jedem Fall auf die Abfragen der heiklen Da- tensammlungen RIPOL, ZAR und AUPER angewiesen sind und ob die Visaerteilung durch ortsansässiges ausländisches Personal nicht mit Risiken verbunden ist. Gene- rell haben wir eine Risikobeurteilung nach den einschlägigen Vorschriften und die Erarbeitung eines Sicherheitskonzepts vorgeschlagen. Als besonderer Risikofaktor könnten sich die lokalen Netze der schweizerischen Geschäftsstellen im Ausland erweisen, über welche die Online-Abfragen abgehört oder von kriminellen Elementen gar für Angriffe auf die heiklen Datensammlungen in der Schweiz genutzt werden könnten. Unsere Anregungen wurden positiv aufgenommen. Eine Überprüfung hat ergeben, dass nur bei etwa 5% der Visa-Gesuche eingehendere Abklärungen nötig sind. Daher genügt es bei 95% der Gesuche, wenn nicht der Schalterbeamte, son- dern das System (freilich in einem gesicherten Umfeld) eine Suchanfrage in den inte-
ressierenden Datensammlungen startet und hernach der schweizerischen Ge- schäftsstelle im Ausland lediglich die O.K.-Meldung erstattet. In den verbleibenden 5% der Fälle ist das Gesuch wie bisher nach Bern zu schicken. Die problematischen Online-Abfragen erübrigen sich. Weiter haben wir uns in einem umfangreichen Gutachten zur Frage der gesetzlichen Grundlage geäussert. Dabei sind wir zum Schluss gekommen, dass für einzelne As- pekte der vorgesehenen neuen Datenbearbeitungen ausreichende Gesetzesgrund- lagen bestehen oder dem Parlament bereits vorgeschlagen wurden (vgl. auch S. 17). Für die heute vorliegende Projektidee wäre indessen darüber hinaus eine klare Grundsatzbestimmung im Ausländergesetz erforderlich, welche zur Zeit fehlt und auch nicht vorgesehen ist. Dabei gilt es zu bedenken, dass eine umfangreiche, neue Datensammlung vorgesehen ist, welche sämtliche visarelevanten Perso- nenbewegungen mit den dazugehörenden Attributen aufzeichnet und während län- gerer Zeit speichert. Diese Daten werden bei der Visaausstellung zusammen mit den Daten anderer grosser Datensammlungen bearbeitet, wobei viele Behörden regel- mässig auf diese Daten - darunter auch besonders schützenswerte - greifen werden.
2.3. Übergreifendes Sicherheitskonzept für kantonale Anschlüsse an das ZAR
9vrA htrqr Eir t rvsrqrTvpur urvvWr uyvvpur7qqFhr ryyvpuhE yvpuhpuirvqr ryrx vpur7rh irvt6yqr qhr WvryrFhruhirvpuvqr 7ir hurqr Tvpur urvhs qr trqr7 qrrvr hqrr xy Hvrvrrvr rFhrurv hrvqr Tvpur urvrvhyvrqr7qrvWr uhqyt
In einem, in VPB 60.10 publizierten Gutachten, haben wir uns bereits Ende 1994 zu den bundesrechtlichen Vorgaben bei der Bearbeitung von Ausländerdaten in Bund und Kantonen geäussert. Das Zentrale Ausländerregister ZAR steht auch den kan- tonalen Behörden zur Verfügung, soweit dies für die Aufgabenerfüllung erforderlich und mit dem ursprünglichen Datenerhebungszweck vereinbar ist. Darüber hinaus sind keine Datenbearbeitungen erlaubt. Alle Benützer des ZAR müssen dafür Ge- währ bieten, dass die Daten des ZAR nicht zu anderen Zwecken bearbeitet werden oder dass Dritte unerlaubt in die Sammlung des ZAR eindringen und Daten entwen- den oder beschädigen. Dabei leuchtet es ein, dass ein gemeinsamer, hoher Sicher- heitsstandard gewählt werden muss. Für die Sicherheit im ZAR ist jeder einzelne Benutzer voll und ganz mitverantwortlich. Kantone, welche die Zugriffsberechtigung auf das ZAR an eine Vielzahl von eigenen Behörden delegieren wollen, müssen da- für sorgen, dass alle Benutzer den geforderten hohen Sicherheitsstandard aufwei- sen. Weil mit der Sicherheit auch Kosten verbunden sind, empfiehlt es sich, die Or- ganisationsstrukturen kostenbewusst zu gestalten und allenfalls etwas zu straffen. Dies liegt auf der Linie des New Public Management und wird von vielen Kantonen praktiziert. Mit einem weiteren Kanton haben wir die Situation zusammen mit den Sicherheitsspezialisten des Bundes analysiert, so dass vor neuen Anschlüssen an das ZAR die erforderlichen Schutz- und Sicherheitsvorkehrungen getroffen werden können.
2.4. Vermerk «auf Stellensuche» und weitere Vermerke auf den Ausländerauswei- sen
Xrvyqr 6yqr hrvurrtyrvpuhyWr sEttqvrsvqrvpurvrWvry huy6thirqh hsqvrvpuvqr Dqrvrvr Qr uhir@vr trryvpurB qyhtrsE qr h vtrK6rvrLsruyhhqhrpu rpuyvpur Tvpuirs vrqvtrqv
Ein ausländischer Staatsangehöriger hat sich bei uns beklagt, weil auf seinem Aus- länderausweis unter anderem die Vermerke «auf Stellensuche» und «abwartend Rentenentscheid» zu lesen waren. Aufgrund der Angaben der Ausländerbehörden würden solche Vermerke der Praxis entsprechen. Die zuständige Behörde hat in- dessen von sich aus den Vermerk «abwartend Rentenentscheid» aus dem Ausweis entfernt. Auf den Vermerk «auf Stellensuche» hat sie indessen nicht verzichten wol- len. Sie begründete im wesentlichen, der Ausländerausweis stelle nicht nur eine Le- gitimationskarte, sondern zugleich eine Verfügung über die Anwesenheitsberechti- gung dar. Auf dieser Verfügung müssten die nach Gesetz erforderlichen Gründe und Voraussetzungen für den Verbleib in der Schweiz ersichtlich sein. Es würde einen erheblichen Mehraufwand verursachen, neben diesem Ausweis zusätzlich eine se- parate Verfügung zuzustellen. Diese Begründung überzeugte uns nicht. Der Verwal- tungs-Mehraufwand liesse sich durch Gebühren abgelten, und er wird heute in den meisten Amtsstellen durch die ohnehin schon vorhandenen Schreib- und Versandautomaten aufgefangen. Soweit die «Verfügungen» anfechtbar sind, fehlt zudem die Rubrik Rechtsmittelbelehrung. Es wurde auch nicht der Versuch unternommen, den «Verfügungsteil» privat bzw. abgedeckt auszugestalten. So muss bei jeder Präsentation dieses Dokuments zugleich ein mitunter doch recht weitgehender Einblick in die persönlichen Verhältnisse gegeben werden. Hierfür fehlt eine gesetzliche Grundlage, und auch das Datenschutzrecht steht einer solchen Praxis entgegen. Wir haben dies den zuständigen Behörden mitgeteilt. Im Sinne einer Sofortmassnahme hat sich das Bundesamt für Ausländerfragen bereit erklärt, die Liste der Vermerke auf den Ausländerausweisen zu straffen. Das Problem wird aber im Rahmen der Arbeiten an einer neuen Migrationsgesetzgebung in grund- sätzlicher Weise angegangen werden müssen.
2.5. Bekanntgabe von Asylbewerberdaten an ausländische Staaten
9vrAvtr hiq Epxr6yirr ir qE srvpuv6yhqirxhtrtrir r qrrqhq puqvrQr yvpuxrvqr ir ssrrQr rpur vrtrq trsu qrE qr7rvqr 9hrirxhthirhqvr6yiru qrqr @Vvtyrvpu r vtr9hrpuuhirv xrvrypurBrsu qtr xhCvtrtr rv rvhqr r9hrirxhthirv6yhqhst qqr xx rrV qrhiyrur
In einem, in VPB 60.89 publizierten Gutachten, haben wir uns zur Bekanntgabe von Asylbewerberdaten an ausländische Staaten geäussert. Konkret ging es um die fol- genden drei Fälle:
Gemäss dem aus der EMRK fliessenden Grundsatz des «Non-Refoulement» darf niemand der Folter bzw. unmenschlicher oder erniedrigender Strafe oder Behand- lung unterworfen werden. Nach der EMRK-Rechtsprechung verbietet diese Bestim- mung auch die Auslieferung oder Ausweisung in ein Land, in welchem mit Folter o- der unmenschlicher oder erniedrigender Behandlung zu rechnen ist. Sie gilt nicht nur für Flüchtlinge, sondern auch für Straftäter, welche ausgeliefert werden sollen. Die- ser Grundsatz wurde in verschiedenen landesrechtlichen Bestimmungen übernom- men und näher ausgeführt, so im Asylgesetz, im Rechtshilfegesetz und nunmehr auch - zusammen mit dem Verfassungsgrundsatz der persönlichen Freiheit bzw. des Persönlichkeitsschutzes - im Datenschutzgesetz. Nach dessen Artikel 6 dürfen Per- sonendaten nicht ins Ausland bekanntgegeben werden, wenn dadurch die Persön- lichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil ein Datenschutz fehlt, der dem schweizerischen gleichwertig ist. Unter Berücksichtigung all dieser Rechtsgrundlagen führte uns dies in den drei ge- nannten Fällen zu folgendem Ergebnis: Die Bekanntgabe von Fingerabdrücken in ein Land mit schweren Menschenrechtsverletzungen, welches zudem über alle seine Bürger Fingerabdrücke besitzt und auch nur vermutete Regimegegner massiv ver- folgt, erachten wir als geeignet, die Persönlichkeit der betroffenen Person schwer- wiegend zu verletzen. Dies namentlich dann, wenn zu vermuten ist, dass bereits die Bekanntgabe der Fingerabdruckdaten zu einer politischen «Verdächtigung» und zu verunglimpfenden und diskriminierenden Datenbearbeitungen führen kann. Es müsste im konkreten Fall eine ausreichende Gewähr für einen guten Schutz der Menschenrechte (inkl. Persönlichkeitsschutz) nachgewiesen werden. Von vergleich- baren Überlegungen liess sich, soweit ersichtlich, auch das Schweizerische Bundes- gericht in einem kürzlich beurteilten Auslieferungsfall leiten (vgl. BGE 122 II 373). Sie gelten auch für den Datenaustausch unter internationalen Fahndungs- und Strafbe- hörden. Demgegenüber sahen wir im Austausch von Asylbewerberdaten unter euro- päischen Asylbehörden mit gleichwertigem Datenschutz keine schwerwiegende Ge- fährdung der Persönlichkeit der betroffenen Personen.
2.6. Vertrag des Bundesarchivs mit Yad Vashem über die Bekanntgabe von Daten jüdischer Flüchtlinge
`hqWhurrvrssryvpu rpuyvpurF r puhsD hryrypurqvrDr rr qr 7ir yrirqrqrCyphqqr Cvr iyvrirrqr Psr r vuhqh Tpurvr vpur7qrh puv7ir vytqr 9hrwEqvpur AyEpuyvtr ("" (#$trirr
Das Schweizerische Bundesarchiv stimmte dieser Übermittlung zu. Es unterbreitete uns einen Vertragsentwurf und zeigte uns die interessierenden Datenbestände. Wir regten an, die nach schweizerischem Recht nötigen Datenschutz- und Datensicher- heitsklauseln darin festzuhalten. Danach sind die Nachforschungen im Interesse der jüdischen Flüchtlinge und ihrer Angehörigen oder Nachkommen auch in Israel mög- lich. Gleichzeitig werden ihre Personendaten vor unbefugtem Bearbeiten geschützt.
2.7. Anhörung des EDSB zur hängigen Revision des Asylgesetzes und Ausländer- gesetzes
9vr ir hrqrFvvqrIhvhy hyqrvr Tryythur qr9hrpuirvtrqr irvqrSrvvrE srrv
Dabei wurden wir gebeten, unsere in den früheren Tätigkeitsberichten dargelegte Auffassung (vgl. zuletzt: 3. Tätigkeitsbericht 1995/96 S. 23.f) näher zu erläutern. Wir führten erneut aus, dass die Bekanntgabe von Personendaten ins Ausland auch nach Art. 6 DSG nicht zu einer schwerwiegenden Gefährdung der Betroffenen oder ihrer Angehörigen führen darf. Fehlt im Empfängerstaat ein dem schweizerischen gleichwertiges Datenschutzgesetz, sind durch bereichsspezifische Abkommen und weitere Massnahmen hinreichende Garantien für den Daten- und Persönlichkeits- schutz der betroffenen Personen und ihrer Angehörigen zu schaffen. Solche Ab- kommen erachten wir nicht als «Bagatellabkommen». Generell regten wir in diesem Zusammenhang auch an, die Frage näher zu prüfen, in welchen Fällen das Parla- ment internationale Abkommen im Migrationsbereich abschliessen bzw. genehmigen soll. Als problematisch erachten wir auch die heute geübte flächendeckende Erhe- bung von Fingerabdrücken bei Asylbewerbern und die Bekanntgabe dieser Daten in den Heimatstaat. Wir regten an, weniger weit gehende Lösungen zu prüfen. Neue Untersuchungen haben ergeben, dass nur ein ganz geringer Anteil der Asylbewerber missbräuchliche Doppelgesuche stellen (vgl. nachfolgend S. 51), und dass sich hier- über relativ leicht Prognosen machen lassen. Gemäss unserer internen Umfrage bei verschiedenen Datenschutzbeauftragten an- derer Staaten entspricht eine flächendeckende Erhebung der Fingerabdrücke von Asylbewerbern keineswegs einer allgemeinen europäischen Praxis. In verschiede- nen europäischen Staaten werden die Fingerabdrücke von Asylbewerbern nur dann erhoben, wenn im Einzelfall Anhaltspunkte für ein missbräuchliches Verhalten be- stehen. Es ist nicht einzusehen, weshalb nicht auch unser Land eine solche Lösung wählen soll. Für den Fall, dass sich in Europa aufgrund neuer multinationaler Ab- kommen wider Erwarten in näherer Zukunft Änderungen ergeben sollten, müsste dem Bundesrat freilich ein gewisser Handlungsspielraum eingeräumt werden, womit wir einverstanden wären. Erneut wiesen wir darauf hin, dass die Bekanntgabe von Daten aus den heiklen Asyl- und Ausländersammlungen nur dann im Abrufverfahren erfolgen darf, wenn dies zur Erfüllung der gesetzlichen Aufgabe wirklich r y.yvpu ist.
2.8. Verlängerung des Bundesbeschlusses über das Asylverfahren
Xrvyqr 7qrirpuyEir qh6yr shu r 6ipuyqr Uhy rvv qr6ytrrrhysr qr@vqtSrr ytr r qr9vrr ivrrvpuqhvqvrryrthrHtyvpuxrvqvrhvpuKsr vtrLvB qhir vrrrr9hrpuirvtrqr rvqvr r6ytrrrtyrvpuv F hsrr@vah rivvEhu !puvrrqrtrtrEir r sruy hyqh9TBqvrA v@ yhypur 9hrpuirvtrhsqr Eyv (('hir huh
Aus Anlass der Verlängerung des Asylverfahrensbeschlusses haben wir im Ämter- konsultationsverfahren angeregt, die an sich «fertigen» und im Grundsatz unbestrit- tenen Datenschutzbestimmungen des revidierten Asylgesetzes zugleich mit der Ver- längerung des Beschlusses in Kraft zu setzen. Ein Zuwarten bis zur Inkraftsetzung des revidierten Asylgesetzes im Jahr 1999 oder noch später schien uns unange- bracht. Denn Art. 38 Abs. 3 des Datenschutzgesetzes (DSG) verlangt, dass fehlende Datenschutzbestimmungen in formellen Gesetzen bis spätestens zum 1. Juli 1998 zu erlassen sind. Der Bundesrat hat dem Parlament nun aber - ohne uns im Vernehmlassungsver- fahren nochmals angehört zu haben - eine andere Lösung unterbreitet. Danach soll
in einem neuen Absatz 4 zu Artikel 38 DSG die besagte Anpassungsfrist für den A- sylbereich bis zum 31. Dezember 1999 verlängert werden. Wir sind jedoch der Meinung, dass bereits heute eine Reihe von heiklen Daten- bearbeitungen im Asylbereich gesetzlich ungenügend abgestützt und auch durch das Übergangsrecht von Art. 38 DSG nicht gedeckt sind. Auch die Eidg. Daten- schutzkommission scheint diese Auffassung in ihrem Entscheid vom 29. November 1996 zu teilen (vgl. vorne S. 13). In einem viel beachteten Urteil hat das schweizeri- sche Bundesgericht zudem kürzlich eine kantonale Behörde dazu verpflichtet, ohne eine genügende gesetzliche Grundlage beschaffte heikle Daten zu vernichten. Damit besteht für die Asylbehörden ein erhebliches Risiko, wenn die fehlenden gesetzli- chen Grundlagen nicht rasch erlassen werden. Aus allen diesen Gründen sind wir daher an den Bundesrat herangetreten und haben ihn gebeten zu prüfen, ob dem Parlament nicht doch noch die von uns vorgeschlagene Lösung unterbreitet werden könne.
" Uryrxvxhv
3.1. Bundesgesetz über die Überwachung des Post- und Fernmeldeverkehrs so- wie den Einsatz technischer Überwachungsgeräte
9h@vqtrvpurEvqQyvrvqrh rrirhs htrrvrTqvrt r vqr 6h irvtrvr7qrtrrrEir qvr7ir hputqrQq Ar ryqrr xru vrqr@vhrpuvpur 7ir hputtr rDShur qr r xyhvuhrv Bryrtrurvqr@ sTryytrur
Wie schon im 1. Tätigkeitsbericht ausgeführt, forderte die Geschäftsprüfungs- delegation des Nationalrates (GPK) die Schaffung von strikteren Regelungen für die Überwachung des Post- und Fernmeldeverkehrs zu Zwecken der Strafverfolgung. Daraufhin wurde am 15. Oktober 1993 vom Vorsteher des Eidgenössischen Justiz- und Polizeidepartementes (EJPD) eine Studiengruppe mit dem Auftrag eingesetzt, entsprechende Regelungen auszuarbeiten. Im Januar 1995 wurden die Revisionsar- beiten der Studiengruppe bezüglich der Überwachung des Post- und Fernmeldever- kehrs sistiert. Anfang 1996 beauftragte das EJPD die Studiengruppe unter gleicher Zusammensetzung mit der Ausarbeitung eines Bundesgesetzes über die Überwa- chung des Post- und Fernmeldeverkehrs. Dabei waren die bisherigen Vorarbeiten zu integrieren, die Schaffung einer Zentralstelle zur technischen Durchführung von Ü- berwachungen des Fernmeldeverkehrs zu prüfen und insbesondere deren Kosten abzuschätzen. Wir verzichteten aus personellen wie zeitlichen Gründen auf die wei- tere Teilnahme an dieser Studiengruppe. Jedoch konnten wir im Oktober 1996 zu dem uns vorgelegten Entwurf eines Bundesgesetzes über die Überwachung des Post- und Fernmeldeverkehrs sowie den Einsatz technischer Überwachungsgeräte Stellung nehmen. Im Rahmen dieser Ämterkonsultation konnten die bestehenden sowie die durch die Ausarbeitung des Gesetzes entstandenen Differenzen bereinigt werden.
3.2. Telecom PTT
DT9ISsr hrvtrr q &pxt
Vr rA qr trv7r rvpuDT9ISsr Eir vytvrrirvqr U@G@8PHQUUt rrvyhsssrrPu r6itrrurrvrQxqr qvr BriEu rr uritir vssxr@vvtxrvr vryr qr Die Rufnummeranzeige, die das dienstintegrierende digitale Netz (ISDN) ermöglicht, ist eine äusserst praktische und sinnvolle Einrichtung, stärkt sie doch die Position des Angerufenen indem er feststellen kann, von welchem Anschluss er angewählt wird. Auch der Anrufer geniesst Vorteile: Er kann direkt zur richtigen Person durch- gestellt bzw. zurückgerufen werden. In einzelnen Fällen kann jedoch die Rufnummerübermittlung für die anrufende Per- son zu einer gravierenden Persönlichkeitsverletzung führen. Beispielsweise will ein Anwalt nicht, dass seine Klienten, die von seiner Kanzlei aus Telefonate tätigen, als solche sofort erkannt werden. Ruft eine Patientin von ihrem Spezialarzt ihren Arbeit- geber an, können gar hochsensible Gesundheitsdaten bekannt werden. Weiter exis- tiert das Bedürfnis, diejenigen Rufnummern geheimzuhalten, die unbedingt für ab- gehende Telefonate freigehalten werden müssen. Im März 1996 haben wir eine Empfehlung (siehe Seite 115) an die TELECOM PTT gerichtet, deren Hauptpunkte von der TELECOM akzeptiert wurden: Die fallweise Rufnummerunterdrückung wird im Laufe des Jahres 1998 auch für ana- loge Telefonanschlüsse angeboten werden. Weiter ist unserer Forderung nach Ori- entierung der Kundinnen und Kunden über die Anzeige und Unter- drückungsmöglichkeit entsprochen worden. Der einzige Punkt, über den keine voll- ständige Einigung erzielt werden konnte, betrifft die Kostenlosigkeit der Rufnummer- unterdrückung. Die TELECOM hat zwar auf die monatliche Gebühr verzichtet, nicht aber auf eine einmalige Einschaltgebühr. Wir haben festgestellt, dass diese Gebühr von 15 Franken, auch wenn sie als gering erscheinen mag, einen entscheidungsbeeinflussenden Charakter besitzt. Die Kun- den sehen sich gezwungen, für die Wahrung ihrer Rechte Kosten zu übernehmen, bedingt durch eine technische Neuerung, auf die sie keinen Einfluss hatten. Wir sind daher der Meinung, dass die Einschaltgebühr entfallen muss und haben diese Punkt dem Eidg. Verkehrs- und Energiewirtschaftsdepartement vorgelegt, das im März 1997 entschieden hat, dass die einmalige Gebühr erhoben werden darf. Der EDSB hat keine Möglichkeit mehr, diesen Entscheid weiterzuziehen. Allerdings können die TELECOM-Kundinnen und Kunden als Betroffene diesen EVED-Entscheid bei der Eidg. Datenschutzkommission anfechten.
ISDN sieht die Funktion «Identifikation erzwingen» vor. Teilnehmer, die über diese Funktion verfügen, können eine aktivierte Rufnummerunterdrückung des Anrufers rückgängig machen. Diese Funktion muss auf einige wenige Institutionen wie Not- rufdienste (Polizei, Feuerwehr, Sanität), die klare Sicherheitsgründe nachweisen können, beschränkt bleiben. Zudem müssen diese Institutionen bekannt sein. Es sind Fälle bekanntgeworden, bei denen auch weitere Anschlüsse über diese Funktion verfügten. Dies kann nicht akzeptiert werden. Die TELECOM hat uns versichert, der Sache nachzugehen. Falls aus nicht sogleich behebbaren Gründen die Rufnummerunterdrückung nicht zuverlässig funktioniert, sind die Kunden darüber zu informieren.
Telefonohrbild
Ein TELECOM Kunde teilte uns mit, dass es in bestimmten Fällen trotz einer in der Schweiz aktivierten Unterdrückung zu einer Rufnummeranzeige im Ausland kam. Die TELECOM gab uns bekannt, dass sie letztlich nicht garantieren könne, dass ihre ausländischen Partner das Unterdrückungssignal korrekt interpretieren. Auch hier ist, solange die technischen Gegebenheiten international nicht genügend abgestimmt sind, eine klare Information der Kunden erforderlich (Transparenzprinzip).
@yrx vpurUrvyrur r rvpuvr
9vrshrqrTputyvpuxrvrvryrx vpurWr rvpuvrxr r h rrqr EpurPssryrttrDs hvrEir qvr7r s srrsEu r
Das elektronische Telefonverzeichnis ETV der TELECOM, aber auch Produkte (v.a. CD-ROM) privater Anbieter bieten sehr umfassende und nützliche Such- möglichkeiten. Für die Betroffenen können sie jedoch auch zu unerwünschten Da- tenbekanntgaben führen. So sind etwa alle Anschlüsse einer bestimmten Strasse, eines bestimmten Hauses oder alle auf einen Anschluss eingetragenen Personen (im selben Haushalt lebende Personen) eruierbar. Auch der Umstand, dass frühere Einträge einige Monate im ETV verbleiben, können zu einer heiklen und ungewollten Offenlegung familiärer Verhältnisse führen, wie uns ein Kunde anhand seines Beispiels gezeigt hat. Wir sind momentan daran zu prüfen, wie der Datenschutz in diesem Bereich verbes- sert werden kann. Dabei werden wir auch die vorgesehene Lockerung der heutigen Eintragungspflicht im revidierten Fernmeldegesetz in unsere Überlegungen einbe- ziehen.
9h'U@G@8PHGrpx+
Durch einen im August 1996 erschienenen Pressebericht wurde bekannt, dass auf einem allgemein zugreifbaren Internet-Server der TELECOM nicht für die Öffentlich- keit bestimmte Daten zugänglich waren. Nach der Durchsicht der auf unser Verlangen von der TELECOM unterbreiteten de- taillierten Unterlagen, stellten wir fest, dass neben einer Menge Sachdaten auch ei- nige Personendaten (Adresslisten, Lebensläufe) zugänglich waren. Der Vorfall zeigt, dass die Datensicherheitsmassnahmen noch ungenügend sind. Als unerlässlich halten wir eine stärkere Sensibilisierung der Mitarbeiter für Daten- schutzanliegen. Die TELECOM hat Massnahmen zur Verbesserung des Datenschut- zes und der Datensicherheit eingeleitet.
3.3. Post PTT
Qx
DShurqr 6hvvr tqrQhuytr xru qrqvrVr pu vsr qr Fvuhir qvrivur hsQhvr xh rhitryrth rKrvtrphLvr vryrx vpur A r rqrWr vsvxhvqr ir rpuvtrUrvyrur h
ahuytr xru qvryrvtr@vQxvuhir r rrqh vrvrQr yvpuxrvr yrt
Der erwähnte Postkontoinhaber war nicht bereit, dem «Einscannen» und der damit verbundenen elektronischen Weiterbearbeitung seiner Unterschrift zuzustimmen. Er machte sinngemäss geltend, dass er sich dadurch in seiner Persönlichkeit verletzt fühle. Unsere Abklärungen ergaben, dass - auch wenn ein Missbrauch nie ganz auszu- schliessen ist - die von der Post ergriffenen technischen und organisatorischen Massnahmen gegen ein unbefugtes Bearbeiten der elektronisch vorliegenden Unter- schriften angemessen sind. Wir stellten weiter fest, dass die Gesamtheit der pro Postkontoinhaber bearbeiteten Daten eine hohe Sensibilität aufweist. Bearbeitet werden neben den Personalien und dem Kontostand z. B. auch die Ein- und Auszahlungen der letzten 15 Monate, die Postomatbezüge, die Einkäufe mit Postcard etc. Hier können ohne weiteres Persön- lichkeitsprofile entstehen. Daher prüften wir insbesondere, ob der Zugriff, auf die - für die Abwicklung des Zah- lungsverkehrs notwendigen - Daten postintern weiter eingeschränkt werden kann und auch die übrigen Datensicherheitsmassnahmen genügend sind. Untersucht wurden von uns auch die Postkontoeröffnungsformulare. Es geht hier vor allem um die Frage, welche Daten durch den Erhebungszweck legitimiert sind und die Trans- parenz für den Kunden. Diese Abklärungen sind noch nicht abgeschlossen.
3.4. Aufzeichnung von Mitarbeiterdaten bei der Nutzung von Internet-Diensten
9hDr riD hruyhpuh6 irvyhvr ru @vt9h rvpu uhyvtr6trixhpuhyhtrqrurq6 irvtrir r Epu rKT s rLr yrvr9vrF yyrEir qhWr uhyrqr Hvh irvr vqvrir EtyvpuvputrhrXrvr rF yyrq puqr6 irvtrir vqwrqpuxyh r B rrtrr
Mehrere Leute wollten wissen, unter welchen Bedingungen und in welchem Mass Daten über die Nutzung von Internet-Diensten (bzw. vergleichbaren Diensten) bear- beitet werden dürfen. Grundsätzlich gehört es zur Aufgabe der Linienvorgesetzten, die Einhaltung der An- ordnungen an ihre Mitarbeiter zu überprüfen. Arbeitszeit und betriebliche Ressour- cen z. B. dürfen nicht für private Zwecke benutzt werden. Dies ist in der Regel ohne detaillierte technische Überwachungsmassnahmen möglich. Eine umfassende Aufzeichnung und Auswertung von Benutzeraktivitäten bei der In- ternetnutzung kann hingegen zu einem schweren Eingriff in die Persönlichkeit der Betroffenen führen. Denn die Entstehung von Persönlichkeitsprofilen ist ohne weite- res möglich. Die Informatikdienste sind daher nicht befugt, die Benutzung der Internet-Dienste durch die Mitarbeiter zu analysieren. Erst bei konkreten Anhaltspunkten von Unre- gelmässigkeiten kann eine Aufzeichnung auf Anordnung der vorgesetzten Stelle verhältnismässig erscheinen. Jedoch sind die Mitarbeiter vorgängig zu informieren, welche Daten über ihre Inter- net-Nutzung erfasst werden, wie sie bearbeitet werden und wer sie unter welchen Bedingungen auswertet. Die Datenbearbeitung ist auf das Mass zu beschränken, das für den Zweck (Miss- brauchsbekämpfung) absolut nötig ist. Nur Personen, die speziell damit beauftragt
Gläserner Mensch
worden sind, dürfen auf personenbezogene «Log-Dateien» zugreifen. Anschliessend sind die nicht mehr benötigten Daten sogleich zu vernichten.
7qrr hyt
4.1. Inhalt des Personaldossiers und Auskunftsrecht
9r 6 irvtrir qh sIvrq7r vpurEir qhWr uhyrrvr6 irvrur qhvQr hyqvr hsirhu rrvvrsE qh6 irvr uyv ryr hvqRhyvsvxhvrq7r rvytrtru rqrvpuvtr9hrv Qr hyqvr qxrr qhrsr r qrrvr 9 pusEu t qr6 irvr htrvpuru irvtr qr9r6 irvrur rut q yvpurvrvtrpu xr6xs rpu
Die Frage nach dem zulässigen Inhalt des Personaldossiers wurde von einem PTT- Angestellten aufgeworfen, nachdem er in seinem Personaldossier Berichte über sein Verhalten vorfand. Sie hatten hauptsächlich die Beschädigung von kleineren Ge- genständen im Betrieb zum Inhalt. Die Berichte wurden schliesslich eingestellt, da sie keinen Anlass für disziplinarische Massnahmen gaben. Wir machten die PTT darauf aufmerksam, dass Akten und Berichte über besondere Vorkommnisse im Betrieb nur dann im Personaldossier aufzunehmen sind, wenn sie für das Arbeitsverhältnis objektiv tatsächlich benötigt werden. Dokumente der oben beschriebenen Art hätten demzufolge nicht im Personaldossier aufbewahrt werden dürfen. Finden sich bedeutungslose Dokumente doch im Personaldossier, so müss- ten sie durch eine regelmässige Triage des Dossiers entfernt werden. Dies gilt auch für Dokumente, die erst nach einer bestimmten Zeit ihre Bedeutung für die weitere Durchführung des Arbeitsvertrages verloren haben. Andererseits sind Informationen im Personaldossier solange aufzubewahren, als sie tatsächlich benötigt werden. Die vorzeitige, endgültige Entfernung von Qualifikationsbögen aus dem Personaldossier während eines hängigen Auskunftsverfahrens kommt einer unverhältnismässig kur- zen Aufbewahrungsdauer gleich. Diese Verletzung des Verhältnismässigkeitsprinzi- pes kann unter Umständen zusätzlich eine Missachtung von Treu und Glauben dar- stellen. Dem PTT-Angestellten wurde zu Beginn das Auskunftsrecht wiederholt verweigert. Erst unter Einbezug der Kreispostdirektion wurde Einsicht ins Personaldossier ge- währt. Das Fotokopieren des Inhaltes des Personaldossiers wurde erst später er- möglicht. Wir machten die PTT darauf aufmerksam, dass jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen kann, ob Daten über sie bearbei- tet werden. Im übrigen haben wir festgehalten, dass der Dateninhaber eine vollständige und wahrheitsgemässe Auskunft über den Inhalt des Personaldossiers geben muss. Da- bei schliesst die Einsichtnahme des Personaldossiers durch die betroffene Person an Ort und Stelle das Fotokopieren des Inhaltes nicht aus. Der Inhaber der Daten- sammlung kann die Auskunft nur dann verweigern, einschränken oder aufschieben, soweit ein formelles Gesetz es vorsieht oder es wegen überwiegender Interessen eines Dritten erforderlich ist. Ein Bundesorgan kann zudem die Auskunft verweigern, einschränken oder aufschieben, soweit es wegen überwiegender öffentlicher Inte- ressen, insbesondere der inneren und äusseren Sicherheit der Eidgenossenschaft,
erforderlich ist oder die Auskunft den Zweck einer Strafuntersuchung oder eines an- deren Untersuchungsverfahrens in Frage stellt. Der Arbeitgeber ist zudem verpflich- tet, die Arbeitnehmer über das Auskunftsrecht zu informieren. Wir haben dann die Bedeutung von Art. 328i des Schweizerischen Obligationenrechts (OR) unterstri- chen. Diese Bestimmung gilt als ergänzendes Verwaltungsrecht und ist somit für Da- tenbearbeitungen durch den Bund analog anwendbar. Sie besagt, dass der Inhaber einer Datensammlung nur diejenigen Daten bearbeiten darf, die er für einen be- stimmten Zweck objektiv tatsächlich benötigt. Der Personaldienst der in Frage ste- henden Kreispostdirektion hat sich bereit erklärt, die Personaldossiers nach den ein- schlägigen datenschutzrechtlichen Grundsätzen zu führen und die Angestellten über das Auskunftsrecht - gegebenenfalls im Anstellungsschreiben - zu informieren.
4.2. Videoüberwachung am Arbeitsplatz
7ir hputqF yyrrqvrqhWr uhyrqr 6 irvrur h6 irv yhEir hpuryyrqE srvpurvtrrr qrTvqypurTrrh hqr rB Eqrr s qr yvpuvqvrvirqr rtrhyrqh qr qhBrqurvQr yvpuxrvq7rrtts rvurvqr 6 irvrur qhq pu vpuirrv puvtr qr
Ein Angestellter der PTT-Betriebe hat sich bei uns über die Zulässigkeit der Video- überwachung am Arbeitsplatz erkundigt. Wir teilten ihm mit, dass Arbeitnehmer An- spruch auf eine angemessene Privatsphäre am Arbeitsplatz haben. Sie müssen über die verwendeten Überwachungsmethoden informiert werden. Eine dauernde elektro- nische Überwachung ist nicht gestattet. Vorgesetzte, welche diese Grundsätze ver- letzen, müssen mit Disziplinarmassnahmen oder Entlassung rechnen (vgl. Richtlinien der Internationalen Arbeitsorganisation IAO). Bei Systemen, mit denen eine Überwa- chung aus Sicherheitsgründen (bspw. Kontrolle des Betriebsablaufes) durchgeführt wird, ist darauf zu achten, dass eine für die Persönlichkeit der Angestellten schonen- de Vorgehensweise gewählt wird. Das gilt auch für Anlagen, welche der Produkti- onssteuerung dienen. Wir schlugen deshalb der PTT vor, die Überwachung am Ar- beitsplatz in internen Weisungen festzuhalten.
4.3. Telefonüberwachung am Arbeitsplatz
Uryrsr hyrxrr irvrW hrtr7ir hputq F yyrrqh ryyr9vrv7qhqr AhyyrqvrUryrsr hyyr rvqhtrurqr6 srhtrrvtq rtv vr qr qvr9hr iqvr Frqr rvryrBr pursrtruhyrr qrDirqr rtru rhpu Uryrsrrqhqvrqh6iu rBr pururXvrqr 7r ssrr yhr9hWr uhyrqr 6 irvrur qh swrqpuq puypur7ir hput qF yyrrvpux yyvr r qrayvtvvu @vh hTv pur urvt Eqrqr Q qxvrr ttyr r!Uvtxrvir vpuT ##ss
Ein Vertreter eines privaten Unternehmens hat sich bei uns über die Zulässigkeit des Einsatzes von Telefonzentralen erkundigt. Wir teilten ihm diesbezüglich mit, dass Arbeitgeber Telefonzentralen nur einsetzen dürfen, wenn die betroffenen Arbeitneh- mer vorgängig informiert worden sind. Die Aufzeichnung der Teilnehmernummer der aus beruflichen Gründen angewählten Anschlüsse ist zulässig, sofern sie nicht zur
Kontrolle des Verhaltens der Arbeitnehmer vorgenommen wird (sondern z. B. für die Rechnungsstellung an Kunden). Die Teilnehmernummern der von den Arbeitneh- mern angewählten privaten Anschlüssedürfen unter keinen Umständen in vollstän- dig identifizierbarer Form aufgezeichnet werden, wenn das Führen privater Telefon- gespräche nicht generell untersagt wird. Diese Aufzeichnung soll lediglich den betrof- fenen Personen dienen (z. B. für die Kontrolle der wegen privaten Gesprächen getä- tigten Lohnabzüge). Bei Vorliegen von offensichtlichen Unregelmässigkeiten bei den ausgewiesenen Kosten für einzelne Anschlüsse kann bspw. der Personalleiter des Unternehmens nach vorgängiger Information des Personals eine Detailauswertung zum entsprechenden Anschluss verlangen. Dabei sollen die Teilnehmernummern der angewählten privaten Anschlüsse in nicht identifizierbarer Form aufgezeichnet werden. Offensichtliche Unregelmässigkeiten werden dann vermutet, wenn bspw. bei einem Anschluss mehr als die doppelten Kosten des Durchschnitts der betreffenden Einheit innerhalb des Unternehmens ausgewiesen werden, ohne dass dies mit be- trieblichen Erfordernissen erklärbar ist. Der Inhalt von Telefongesprächen darf nur aus Gründen der Leistungskontrolle (z. B. bei Telefonverkäufen oder zu Schulungs- zwecken) oder aus Sicherheitsgründen aufgezeichnet werden. Diese sehr ein- schneidende Kontrollmassnahme ist nur zulässig, wenn die Person, deren Gespräch aufgezeichnet oder mitgehört wird, damit einverstanden ist und jeweils darüber ein- deutig und rechtzeitig in Kenntnis gesetzt wird (z. B. durch ein optisches oder akusti- sches Signal).
fax
4.4. Das Projekt BV-PLUS
9hTr7WQGVTvruqvr7rh irvtirqr puErr rQr rqhr tyr r q"Uvtxrvir vpuT$&ssi"#9ruhyir yhtrv @vqtQr hyhqvrWr hxr tqrTrvrvrBrrv s ryyrTvrXv r yhtrhpuqhqhTr7WQGVTyrqvtyvpusE qvr Guirv puhstr hyrvtrrr qrTpuyvryvpur yvrrv rvr@ sruytqvrhqh@vqtrvpurAvhqrh rrrvr trtr qr
Anfangs 1996 haben wir von der baldigen Inbetriebnahme des zentralen Daten- bearbeitungssystems der Bundesverwaltung BV-PLUS erfahren. Bereits früher hat- ten wir dem Eidgenössischen Personalamt (EPA) auf die Tendenz zur dezentralen Datenbearbeitung in der Bundesverwaltung aufmerksam gemacht (vgl. unseren ers- ten Tätigkeitsbericht, S. 58ff). Wir begrüssten die Tendenz zur Dezentralisierung aus datenschutzrechtlichen, aber auch aus Wirtschaftlichkeits- und Effizienzgründen. Wir forderten deren Verankerung im damaligen Entwurf einer Verordnung zum Schutze der Daten von BundesbedienstetenDas System hätte nur für die Lohnbewirtschaf- tung zentral geführt werden sollen. Wegen der vorgesehenen Bearbeitung von besonders schützenswerten Perso- nendaten durch das System BV-PLUS betonten wir die Notwendigkeit der Ver- ankerung des Systems in einer gesetzlichen Grundlage im formellen Sinne. Das EPA hat aber diese Forderungen abgewiesen. Das EPA vertrat die Meinung, dass für BV-PLUS - mangels Bearbeitung von besonders schützenswerten Per- sonendaten und Persönlichkeitsprofilen - reduzierte Anforderungen an die ge- setzliche Grundlage bestehen. Im Zusammenhang mit der Dezentralisierung der Da- tenbearbeitungen in der Bundesverwaltung weicht das System BV-PLUS nach Mei- nung des EPA vom bestehenden Personalinformationssystem PERIBU nicht ab. Wir empfahlen dem EPA, BV-PLUS lediglich für die Lohnbewirtschaftung und nur nach Schaffung der formell- und materiellgesetzlichen Grundlagen einzusetzen. Das EPA lehnte die Empfehlung ab. In der Folge legten wir die Angelegenheit dem Eidgenös- sischen Finanzdepartement zum Entscheid vor. Dieses teilte uns mit, dass für BV- PLUS eine Rechtsgrundlage auf Verwaltungsstufe geschaffen werde. Ausserdem informierte uns das Finanzdepartement, dass BV-PLUS nicht mehr mit der ursprünglich vorgesehenen Software, sondern mit der Standardsoftware SAP R3 HR realisiert werde. Wir wiesen zudem das Finanzdepartement noch auf die Notwendigkeit einer gesetz- lichen Grundlage im formellen Sinne für das Personalbewirtschaftungssystem der Bundesverwaltung hin. Unseres Erachtens ist vorliegend ein Gesetz im formellen Sinne nicht nur wegen der Bearbeitung von besonders schützenswerten Personendaten notwendig, sondern auch deshalb, weil die heutige Beamtengesetzgebung die Zuständigkeit des EPA zur Bearbeitung dieser Daten nicht vorsieht. Ausserdem würde die Schaffung einer sol- chen gesetzlichen Grundlage Gelegenheit zur Regelung der Aufgabenverteilung zwi- schen dem EPA und den einzelnen Personaldiensten geben.
4.5. INSIGHTS - Personalevaluations-System
TrvrvvtrEhu rruqvrKHhhtrrHvh irvr LWr vqvrrQ qxr qrWr hytrvurvrqr7qrhs9vxrr Wr sEttDr rrv rUvtxrvir vpuT#&ssuhirv r puvrqrr6rxrhtr purq tr hrypurUrvpuirvqr @vryytr rqrqr hyyrshyyhy
D r UrhsEu tv6trshr9hqvr9vxrrru urvyvpuvpu q purvQh trpuEvquhirv qvrIrqvtxrvirqvr9hr 6shthhvvr rTpuyvryvpuuhirv htrvpuqr rvyvpuir t rr6htrx hsqr Ur ryhrqhhitr hrqvr6hyrrhvpu h puvvr rqhsirhu rtyhpu6uhtT( qr yvrtrqr7r vpu
Für die Tests werden keine Softwareprodukte verkauft, sondern eine bestimmte An- zahl Analysen, die der Bundesverwaltung in Diskettenform zur Verfügung gestellt werden. Der Verkäufer empfiehlt, bestimmte Benutzungskriterien einzuhalten: Freiwilligkeit der Teilnahme am Testverfahren, Anspruch der betroffenen Person auf Herausgabe der Testresultate, Verfall der Analyseresultate nach zwei Jahren. Diese Empfehlun- gen bilden indessen nicht Teil des Vertrags. Ebensowenig werden die Käufer auf einen Ethikkodex verpflichtet, sondern können Analysen ohne Vorschulung erwerben und verwenden. Die Diskette kann durch zwei verschiedene Passwörter geschützt werden: Das erste erlaubt die Eingabe der zu analysierenden Daten, das zweite ermöglicht das Ausdru- cken der Resultate. Man hat uns ferner zugesichert, dass ein hohes Sicherheitsni- veau eingehalten würde (Selbstvernichtung des Programms bei Versuchen, die Da- ten zu ändern; Piraterie ausgeschlossen). Nach der Eingabe können die Daten - mit Ausnahme der Identitätsangaben, bei de- nen eine einmalige Änderung möglich ist - nicht mehr abgeändert werden. Einige Mitarbeiter des Datenschutzbeauftragten haben sich dem Test unterzogen und die Resultate evaluiert bzw. von einer nahestehenden Person evaluieren lassen. Die Richtigkeit der Resultate wurde auf durchschnittlich 70 bis 80 % geschätzt. Für den Fall, dass - wie in unserem Sekretariat - eine Diskette ohne Passwort in Um- lauf gelangt, haben wir als erstes darauf hingewiesen, dass die Analysen von Anfang an anonymisiert werden müssen und der Schlüssel zur Identifizierung nur der betrof- fenen Person bekannt sein darf. Wenn das Produkt systematisch als Instrument zur Personalführung eingesetzt wird, werden die Disketten mit mindestens einem Passwort (zwei, wenn die Abläufe Ein- gabe und Drucken getrennt werden sollen) geschützt. Maximal zwei Mitarbeiter des Personaldienstes haben Zugang zu den Daten, wobei auch da eine Anonymisierung zu erwägen ist, sobald der Bearbeitungsstand der Daten es erlaubt. Im übrigen haben wir angesichts der zeitlich begrenzten Aussagekraft der Analyse von einer systematischen Archivierung und Aufbewahrung der Resultate abgeraten. Da es sich um sehr allgemeine Analysen handelt, haben wir ferner hervorgehoben, dass das Produkt nicht als Instrument bei der Einstellung von Personal, sondern vielmehr zur Teamführung dienen kann. Schliesslich müssen solche Tests im Einklang mit den Richtlinien des Eid- genössischen Personalamtes zur Anwendung von Einzel- und Gruppentestverfahren stehen (vgl. Anhang S. 91 des vorliegenden Berichts).
4.6. Einholen von Referenzen gegen den Willen der betroffenen Person
DShurrvr Tryyrirrtvqr 7qrr hyt qrDs hvr irv9 vrrvtruy9h@vuyrSrsr rrvwrqpuurqvr ur vtra vtqrTryyrirr ir hTvpuqr9hrpurt qyvpuvpu yvt
Ein Angestellter der Bundesverwaltung beschwerte sich bei uns darüber, dass an- lässlich seiner Anstellung bei der Bundesverwaltung ohne seine Zustimmung Refe- renzen bei Dritten eingeholt wurden. Diese Dritten wurden im Bewerbungsschreiben nicht als Referenzquellen angegeben. Diesbezüglich teilten wir ihm folgende Grund- sätze mit: Die Voraussetzungen von Datenbearbeitungen bei Stellenbesetzungen sind weder im Beamtenrecht, noch im Datenschutzgesetz oder in dessen Vollzugs- verordnung geregelt. Die grundsätzliche Zulässigkeit von Datenbearbeitungen im Zusammenhang mit Stellenbewerbungen ergibt sich jedoch aus den allgemeinen Aufgaben der Departemente der Bundesverwaltung. Der einzige Hinweis auf den Umfang der zulässigen Datenbearbeitungen im Zu- sammenhang mit Stellenbesetzungen innerhalb der Bundesverwaltung ist im Rund- schreiben des Eidg. Personalamtes (EPA) über die Bearbeitung von Personendaten in der Bundesverwaltung vom 26. Januar 1984. Dieses Schreiben ist trotz Aufhe- bung der zugrundeliegenden Richtlinien bis heute in Kraft. Ziffer 2.4.1. dieses Rund- schreibens lautet: «Genügen die von einem Stellenbewerber eingereichten Unterla- gen und angegebenen Referenzen für die Beurteilung nicht, so ist das weitere Vor- gehen mit dem Kandidaten abzusprechen». Daraus geht hervor, dass für die Einho- lung von Referenzen die Zustimmung der betroffenen Person erforderlich ist. Im üb- rigen sprechen wir uns auch in unserem «Leitfaden für die Bearbeitung von Perso- nendaten im Arbeitsbereich durch private Personen» (S. 6/7) für diese Lösung aus. Die dort aufgeführten Grundsätze betreffen die Datenbearbeitung im privatrechtli- chen Bereich, sind aber auf die Bundesverwaltung analog anwendbar.
$ Wr vpur trr
Tvhyr vpur tr
5.1. Invalidenversicherung und Datenschutz
Xv qr7qrhsE Tvhyr vpur t7TWhstrs qr Ka hryrirLvpurqr Dhyvqrr vpur tqqr 9hrputrr tritr VrsytrrvvtrhtruyrA htrqvrvpu hyyrhs qvrQ iyrhvxqr 7rxhthir9hrh9 vrirvrurvrr r6 rr thtrrEhu
Im Bereich der Invalidenversicherung (IV) wie auch bei den übrigen Sozialver- sicherungen ist das Verhältnis zwischen der einschlägigen Gesetzgebung und den Datenschutzbestimmungen besonders problematisch. Insbesondere haben wir zu den folgenden Fragen Stellung genommen:
Grundsätzlich können sogar schützenswerte Personendaten - unter bestimmten Voraussetzungen - an Drittpersonen bekanntgegeben werden. Allerdings ist im IV- Bereich Artikel 19 Absatz 4 Buchstabe b DSG zu berücksichtigen, welcher «gesetzli- che Geheimhaltungspflichten» vorbehält. Artikel 50 Absatz 1 des Bundesgesetzes über die Alters- und Hinterlassenenversicherung (AHVG), der ebenfalls auf die IV anwendbar ist, sieht solche Pflichten vor. Vorbehalten bleiben die vom Bundesrat
vorgesehenen Ausnahmen, die in Artikel 209 bis der Verordnung über die Alters- und Hinterlassenenversicherung (AHVV) verankert werden. Die IV-Organe müssen sich also auf diese Bestimmung, nicht auf Artikel 19 DSG, stützen, wenn sie die Be- kanntgabe von Daten ins Auge fassen.
Wir haben diese Frage verneint. Bundesorgane sind zwar berechtigt (aber nicht ver- pflichtet), auf Anfrage Namen, Vornamen, Adresse und Geburtsdatum einer Person bekanntzugeben. Allerdings dürfen aus diesen Informationen keine weiteren Anga- ben und insbesondere keine schützenswerten Daten über den Beteiligten ersichtlich sein. Genau dies wäre jedoch der Fall, wenn die IV-Abteilung des BSV die Identität eines Beteiligten bekanntgeben würde, weil daraus gleichzeitig dessen Anmeldung bei der IV zu ersehen wäre.
In der Tat muss der Wunsch einer Person nach Sperrung der Bekanntgabe ihrer Personendaten selbst dann respektiert werden, wenn die vorgesehene Bekanntgabe an sich rechtmässig wäre. Allerdings darf die verlangte Sperrung durch keinen der in Artikel 20 Absatz 2 DSG aufgezählten Gründe aufgehoben werden. Gemäss diesem Absatz können Bundes- organe die Sperrung verweigern oder aufheben, wenn eine Rechtspflicht zur Be- kanntgabe besteht oder die Erfüllung ihrer Aufgabe sonst gefährdet wäre. Eine Sperrung muss sich schliesslich auf genaue Daten beziehen und auf einem aktuellen und schutzwürdigen, von der betroffenen Person glaubhaft gemachten In- teresse beruhen.
Wir haben darauf hingewiesen, dass Artikel 22 DSG aufgrund der gesetzlichen Ge- heimhaltungspflichten nicht anwendbar ist (vgl. Artikel 19 Abs. 4 DSG). Im IV-Bereich stehen laut Artikel 50 AHVG beziehungsweise Artikel 209bis AHVV zwei Möglichkeiten für die Bekanntgabe von Daten an Drittpersonen offen: die Ein- willigung des BSV oder die schriftliche Einwilligung der betroffenen Person. Das BSV kann demnach darauf verzichten, die beteiligte Person um ihre Zu- stimmung zu ersuchen, indem es in die Bekanntgabe von Daten z.B. in Form von Einsicht in IV-Dossiers einwilligt. Das Bundesamt hat seine Einwilligung in Form ei- ner Verfügung abzugeben, über welche die betroffenen Personen informiert werden müssen. Diese können die Verfügung mit Beschwerde anfechten (Artikel 209bis Ab- satz 3 AHVV).
Schliesslich haben wir daran erinnert, dass das BSV in erster Linie für die Einhaltung der im DSG verankerten Grundsätze verantwortlich ist. Daher muss das BSV insbe-
sondere bei der Datenbekanntgabe darauf achten, dass die seiner Aufsicht unter- stellten Organe, wie die IV-Stellen, einheitliche Regeln anwenden.
5.2. Systematische Bekanntgabe der Diagnose an die Krankenkassen
Die Ausführungen unter dem Titel «5.1. Systematische Bekanntgabe der Diagnose an die Krankenkassen» (vgl. 3. Tätigkeitsbericht Seiten 39 ff.) zur Auslegung der Absätze 3 und 4 von Art. 42 KVG sind aus unserer Sicht nach wie vor gültig. Sie ga- ben jedoch teilweise zu Missverständnissen Anlass, welche hier kurz geklärt werden sollen. Aus dem Gesetzestext ergibt sich, dass genaue Diagnosen nur auf Anfrage, nicht jedoch systematisch (in jedem Fall) bekanntzugeben sind. Regelmässig dem Versicherer bekanntzugeben sind «diejenigen Angaben, die er benötigt, um die Be- rechnung der Vergütung und die Wirtschaftlichkeit der Leistung überprüfen zu kön- nen» (Art. 42 Abs. 4 KVG). Welches nun diese Daten sind, ergibt sich aus dem Ver- hältnismässigkeitsgrundsatz: Es sind nur solche Informationen, welche diese Prü- fung erlauben (Kriterium der Geeignetheit), und darunter bloss diejenigen, welche dazu auch unabdingbar sind (Kriterium der Notwendigkeit).
5.3. Verzicht auf die Entbindung vom Arztgeheimnis beim Militärpflichtersatz
9h7qrhsE Thvqqh7qrhsE Hvyv r vpur tEr rtry vtBrqurvqhrhqvrxhhyrHvyv syvpur hiru qrirxhtr ir6B Eqrqr Wr hytxvryyirvr hyvtrSvrhixy tr vxEsvthsrvr@vvyyvttqr 7r ssrrr vpurr qr
Im Bundesgesetz über den Militärpflichtersatz fehlt eine ausdrückliche Regelung ü- ber die Weitergabe der besonders schützenswerten Gesundheitsdaten. Daher stellte sich die Frage, ob bei einer Weitergabe dieser Daten ohne vorherige Einwilligung der Betroffenen nicht das Arztgeheimnis gemäss Strafgesetzbuch oder das Daten- schutzgesetz verletzt würde. In einem Gutachten zur ersten Frage erachtete das Bundesamt für Justiz aufgrund der besonderen Umstände eine Verletzung des Arzt- geheimnisses gemäss Strafgesetzbuch als nicht gegeben. Setzt man die vyypurvtrqr@vvyyvtt der Betroffenen jedenfalls für die Be- kanntgabe vpu besonders schützenswerter Daten voraus, wäre die Weitergabe sol- cher Daten v@vryshyy gemäss Datenschutzgesetz zulässig. Bei den zunehmenden Datenvernetzungen erscheint es indessen als fraglich, ob die Betroffenen (selbst in Erwartung eines sie begünstigenden Behördenentscheids) alle möglichen Datenbe- arbeitungen gutzuheissen bereit sind, wenn nach ihrer Meinung weniger weitgehen- de Bearbeitungen ausreichen würden. Sind jedoch auch irqr pu&rr r 9hr&ir qvrBrqurv von den beabsichtigten Datenbekanntgaben betroffen, xhhpur r 6sshtwrqpuvpuru hsrvrvyypurvtrqr@vvyyv tttrpuyrr qr. Die bestehende Lücke beim Militärpflichtersatz sollte bis zum 1. Juli 1998 geschlossen werden (vgl. hierzu auch S. 103). Bis zum 1. Juli 1998 haben wir zu der beabsichtigten Praxis unser Einverständnis erklärt. Unsere Nachforschung hat ergeben, dass bei den ersten Routineab- klärungen nur ganz wenige Daten übermittelt werden.
Q vhr vpur tr
5.4. Merkblatt und Einwilligungsklauseln
9vrFrvqr Hr xiyr qqr @vvyyvttxyhryvQ vhr vpur tir rvpupurvvpuvqr Q hvq purrq qrvahrh irv vqrrvryrWr vpur trrvr rvpxry@vr rvr irr rvpuqvr U hh ruvvpuyvpuqr Hr xiyr qqr @vvyyvttxyhryr uriyvpu 6qr r rvr xy rvpur hyrvrWr vpur ttrryypuhsir rvqvr trs qr r@vvyyvttsE wrqrrvsvpur@ rvtv6 ht6ryqtV shyyGrvtTpuhqrrpqrWr vpur rrvuyr
Vorab sei - insbesondere was die Einwilligungsklauseln betrifft - auf die sehr umfas- senden Ausführungen des dritten Tätigkeitsberichts verwiesen (vgl. S. 42 ff). Das Merkblatt zum Datenschutz muss so ausgestaltet sein, dass der Versicherte so weit als möglich über die Bearbeitung seiner Daten informiert wird. (Transparenz- prinzip). Es muss für ihn erkennbar sein, wer welche Daten zu welchem Zweck wem bekanntgibt. Zudem ist die Kenntnis der betroffenen Person über die Bearbeitung ihrer Daten Voraussetzung dafür, dass die einzelnen Versicherungsgesellschaften (juristische Personen) zahlreiche Datensammlungen nicht beim EDSB anmelden müssen. Der Inhalt der durch uns überprüften Merkblätter ist im Vergleich zu früher genauer und umfassender. Insbesondere wird der Kunde ausführlich in Kenntnis gesetzt, worüber er Auskunft verlangen kann (vorhandene Daten, Zweck, Kategorien der be- arbeiteten Personendaten, die an der Sammlung Beteiligten, Datenempfänger). Dem Auskunftsrecht ist in der Praxis die nötige Aufmerksamkeit zu schenken, gilt es all- gemein als das zentrale Element des Datenschutzrechts. Ebenso wurden die uns vorgelegten Einwilligungsklauseln durch die Versicherungen konkretisiert. Der Zweck der Datenbearbeitung sowie diejenigen Personen bzw. Stel- len, mit denen die Versicherung Daten austauscht, sind anschaulicher und ab- schliessend formuliert. Im weiteren verlangen wir schon seit jeher, dass die betroffene Person eine Einwilli- gungsklausel von Gesetzes wegen jederzeit widerrufen kann. Die Möglichkeit des jederzeitigen Widerrufs muss daher in jeder Einwilligungsklausel enthalten sein. Zudem hat die Versicherung die Einwilligung immer im Zusammenhang mit einem spezifischen Ereignis einzuholen. Wir stehen in Kontakt mit einer Versicherung, die nach dem «Baukastenprinzip» für jede Versicherungsbranche und für jedes Ereignis spezifische Einwilligungsklauseln ausgearbeitet hat. Dies soll am Beispiel der Kollek- tiv-Krankenversicherung näher erläutert werden: Sowohl im Stadium des Antrags bzw. der Anmeldung als auch im Krankheitsfall sind - je nach Situation - spezifische Einwilligungen von der betroffenen Person einzuholen. Zudem legen wir Wert dar- auf, dass die Einwilligungsklauseln unmittelbar neben der Unterschrift auf den ent- sprechenden Versicherungsformularen fettgedruckt hervorgehoben werden. Schliesslich ist im Anfangsstadium eines Versicherungsvertrages noch die Ein- willigung des zu Versichernden für die Verwendung seiner Personalien für Marke- tingzwecke einzuholen. Auch hier ist auf das jederzeitige Widerrufsrecht hinzuweisen sowie auf den Umstand, dass ein Sperren der Daten für Marketingzwecke keine sonstigen negativen Auswirkungen auf den Vertragsabschluss haben darf. Der Ver- tragsabschluss darf also nicht davon abhängig gemacht werden, ob jemand seine Zustimmung dazu gibt oder nicht.
5.5. Mangelnde Vertraulichkeit von medizinischen Angaben in Versicherungsfor- mularen
@v6 irvtrir irxhvShurrvr 6ryqtsE rvrxyyrxvrF hxrht tryqr vpur ts rvvyyvt@viyvpxvqvrBrqurvqhrqr 6 irvrur v 6qhrpu rpuyvpur TvpuryyqvrwrqpurvrQr yvpuxrvr yrtqr ir ssrr6 irvrur vqh sr xrvrSrpusr vttt Eqr yvrtr
Eine Arbeitnehmerin trat eine neue Stelle an und hatte die Absicht, sich bei der kol- lektiven Krankentaggeldversicherung ihres neuen Arbeitgebers versichern zu lassen. Sie füllte jedoch den im Anmeldeformular aufgeführten medizinischen Fragebogen nicht vollständig aus. Versicherungsnehmer und somit Vertragspartner der Versiche- rung war jedoch nicht die zu versichernde Arbeitnehmerin, sondern eine dafür ge- schaffene Stiftung, deren Adresse mit derjenigen des Arbeitgebers identisch war. Die Versicherung schickte in der Folge das unvollständig ausgefüllte Formular an den Arbeitgeber bzw. die Stiftung zurück mit der Bitte, dieses vollständig ausfüllen zu lassen. Sowohl die Arbeitnehmerin als auch der Arbeitgeber beschwerten sich dar- aufhin bei der Versicherung und machten sinngemäss geltend, dass dies daten- schutzrechtlich nicht erlaubt sei. Wir hielten fest, dass es aus datenschutzrechtlicher Sicht grundsätzlich nicht zuläs- sig ist, besonders schützenswerte Personendaten - wie Angaben über den Gesund- heitszustand - Dritten bekanntzugeben. Es ist vorliegend mehr als fraglich, ob die Stiftung (und zugleich der Arbeitgeber) Einblick in die Gesundheitsdaten der Arbeit- nehmerin haben soll. Rein theoretisch wäre es ja denkbar, dass der Arbeitgeber auf- grund dessen das Arbeitsverhältnis kündigt, weil die Arbeitnehmerin z. B. an einer bestimmten Krankheit leidet. Es macht sowieso keinen Sinn, dass - mit Ausnahme der zu versichernden Person selbst - sonst jemand Einblick in deren Gesundheitsda- ten erhält. Denn nur diese allein kann die Richtigkeit ihrer Gesundheitsangaben ga- rantieren. Die Zusendung des medizinischen Fragebogens an den Arbeitgeber er- folgte somit widerrechtlich. Rechtfertigungsgründe lagen keine vor. Die zuständige Versicherungsgesellschaft teilte schliesslich unsere Ansicht, wonach Gesundheitsdaten nicht an den Arbeitgeber weitergeleitet werden dürfen. Im weite- ren überarbeitet sie die entsprechenden Anmeldeformulare in unserem Sinne.
5.6. Automatisches «Zusammenfügen» diverser Versicherungsdossiers im Rah- men eines Versicherungsabschlusses
@vr6yvirhivpuvtrirvrvr Wr vpur trvr7r suhssyvpur vpur thipuyvrr9hirvyyrqr Wr vpur tir hr rvir rvEir vrr vvr rqr9vr rvrrvr6shyyhqrEhu r ('%ir hsv qrrr9vr hrsEtrXr qrwrqpuyvpurivur vtrWr vpur tqvr vShurrvrWr vpur thipuyrhhvpuhr tryrtxhqvryrvpuWr yrtrqr9hrputrrrsEu r
Eine Versicherungsgesellschaft beabsichtigte, eine seit kurzem als selbständig tätige Anwältin über die Möglichkeiten einer Berufshaftpflichtversicherung zu informieren. Anlässlich des ersten Beratungsgesprächs legte ihr der Versicherungsberater zwei Computerausdrücke vor, die sich auf zwei frühere Dossiers bezogen. Das eine Dos- sier betraf einen Autounfall aus dem Jahre 1986, bei welchem die Versicherung ge- genüber ihr als Versicherer des schuldhaften Autofahrers auftrat. Das andere Dos- sier hingegen hatte die Berufshaftpflichtversicherung ihres ehemaligen Arbeitgebers
zum Inhalt, bei welchem sie ihr Anwaltspraktikum absolvierte. Beiläufig wurde die Anwältin noch in Kenntnis gesetzt, dass die Versicherungssumme ihres ehemaligen Arbeitgebers «nur» eine Million Franken betrage. Der Versicherungsberater beab- sichtigte schliesslich, die beiden vorgenannten Dossiers mit dem neuen Dossier betreffend die Berufshaftpflichtversicherung zusammenzufügen. Das automatische «Zusammenfügen» verschiedener Dossiers kann sehr schnell zu Verletzungen der datenschutzrechtlichen Grundsätze führen. So verstösst z. B. das Zusammenlegen des «Autounfalldossiers» mit dem neu zu eröffnenden «Berufs- haftpflichtdossier» gegen das Verhältnismässigkeitsprinzip. Denn es ist für den Ab- schluss einer Berufshaftpflichtversicherung nicht erforderlich, dass die dort benötig- ten Angaben mit Daten - insbesondere Gesundheitsdaten - eines über 10 Jahre zu- rückliegenden Autounfalls in Verbindung gesetzt werden. Im übrigen ist es auch wi- derrechtlich, wenn die Versicherungssumme des ehemaligen Arbeitgebers - ohne dessen Einwilligung - an Dritte, sei es auch nur an eine frühere Arbeitnehmerin, be- kanntgegeben wird. Immerhin kann es geschäftsschädigend sein, wenn Aussenste- hende wie z. B. Klienten davon erfahren würden. Zudem verlangten wir, die zu versichernde Person vorgängig und umfassend über den Inhalt der Datenbearbeitung zu informieren. Schliesslich ist eine möglichst klar umschriebene Einwilligung des zu Versichernden für das Zusammenlegen interner Versicherungsdossiers mit den Antragsunterlagen einzuholen (vgl. S. 34 Kapitel Merkblatt und Einwilligungsklausel).
5.7. ZIS (Zentrales Informationssystem)
aDTvrvr9hrhytqr Wr vpur tv puhsEir utvtrqir rv hitrpuyrrT hsqavvyr shu rChrpxaDTvrqvrWr vpur ttrryypuhsr ir Etr vpurHhpurpuhsrpuEr
Die Datensammlung ZIS wurde beim EDSB angemeldet. Da sie besonders schüt- zenswerte Personendaten enthält und wir von privater Seite darauf aufmerksam ge- macht wurden, überprüften wir insbesondere die Legitimität von ZIS. Die einzelnen Versicherungsgesellschaften melden dem Sekretariat des ZIS Versi- cherungsnehmer, Versicherte, Geschädigte, Lenker, Anspruchsteller, deren Hilfsper- sonen und andere Beteiligte, welche direkt oder indirekt an einem Ver- sicherungsvertrag oder Schadenfall in Verbindung mit einem Delikt beteiligt waren. In Frage kommen u.a. die folgenden Straftatbestände: Veruntreuung, Hehlerei, Betrug, ungetreue Geschäftsführung sowie Urkundendelikte. Neben den vollendeten Delik- ten führen auch der Versuch, die Anstiftung sowie die Gehilfenschaft zum Eintrag. Sobald eine Versicherungsgesellschaft Kenntnis polizeilicher oder gerichtlicher Er- mittlungsverfahren hat und ein dringender Tatverdacht besteht erstattet sie dem Sek- retariat unverzüglich Meldung. Änderungen oder der Ausgang eines Straf- und/oder Zivilverfahrens werden dem Sekretariat ebenfalls unverzüglich angezeigt. Die Daten werden nicht EDV-mässig, bearbeitet, sondern auf Papierkarten erfasst. Das Sekre- tariat leitet periodisch aktualisierte Daten an die Versicherungsgesellschaften weiter. Bei der Bearbeitung von Angaben über hängige oder abgeschlossene Straf- oder Zivilverfahren handelt es sich um besonders schützenswerte Personendaten. Für deren Bearbeitung und insbesondere deren Bekanntgabe an andere Gesellschaften (Dritte) ist ein Rechtfertigungsgrund erforderlich. Der Zweck von ZIS besteht darin, betrügerische Versicherungsansprüche zu erkennen und den Abschluss von Versi- cherungsverträgen mit betrügerischem Hintergrund zu verhindern. Im Interesse der
Versicherten sollen damit die Prämienrechnungen entlastet werden. Vor diesem Hin- tergrund muss eine Interessenabwägung zwischen der Bearbeitung der besonders schützenswerten Personendaten und den überwiegenden privaten Interessen der Gesellschaft beziehungsweise den überwiegenden öffentlichen Interessen vorge- nommen werden. Der Rechtfertigungsgrund des Bearbeitens von Personendaten in unmittelbarem Zu- sammenhang mit dem Abschluss oder der Abwicklung eines Vertrags über den Ver- tragspartner kann vorliegend nicht herangezogen werden, da die Bekanntgabe an andere Gesellschaften durch das ZIS nicht mehr in einem unmittelbaren Zusam- menhang steht. Ein überwiegendes privates Interesse ist somit zu verneinen. Aufgrund der herrschenden Konjunkturlage ist die Tendenz, Versicherungsbetrug zu begehen steigend, was auch durch die Anzahl der im ZIS gemeldeten Fälle belegt wird (79 Meldungen 1992, 466 Meldungen 1996). In diesem Licht betrachtet, besteht ein ausgewiesenes Interesse der ehrlichen Versicherten, dass von den Versicherun- gen nicht unrechtmässige Beträge ausbezahlt werden müssen, welche eine Erhö- hung der Prämien zur Folge hätten. Wir sind vorliegend zum Schluss gekommen, dass ein überwiegendes öffentliches Interesse der Versicherten die Bearbeitung die- ser Personendaten rechtfertigt. Ferner stellten wir fest, dass die Bearbeitung der Personendaten sich auf ein Re- glement abstützt, dessen Anwendung von einer unabhängigen Aufsichtsstelle kon- trolliert wird. Die monatliche Mitteilung der neuesten Änderungen (Gerichtsurteile) auf Papier gewährleistet ferner die Richtigkeit und Aktualität der Daten. Durch diese Vorkehrungen wird verhindert, dass der missbräuchlichen Verwendung besonders schützenswerter Daten Tür und Tor geöffnet wird (z.B. unkontrollierter Austausch unter den Gesellschaften). Der Entscheid, ob ein meldepflichtiger Fall vorliegt, liegt indes im Ermessen und der Verantwortung der einzelnen Gesellschaft.
% Brqurvrr
6.1. Überprüfung der obligatorischen Krankenversicherung nach KVG
9vrFhrErhpuqrrrF hxrr vpur ttrrsE qvr@vuhyt qr iyvth vpurWr vpur tsyvpu trTrvqvrFhrqrWr vpur rqhsE rvrFvrqrWr vpur thrvrr yhtrr qvr wrqputrtrqvrhyytrrvr9hrpuirvtrDrvrhqr rAhyyyy rqvrF hxrxhrvryrvr Ds hvxhrqtqvrr rpurqrWr v pur ththirhqvrFhrrvr yrvr9vrrW trurrvr qrrir shyyhy rpuvtrvtrs
F yyrvryrvrWr vpur thrvr
Wir wurden mehrmals angefragt, ob die Kantone zur Überprüfung der Versiche- rungspflicht tatsächlich berechtigt seien, eine Kopie des Versicherungsausweises zu verlangen. Die Frage, inwiefern dies datenschutzrechtlich zulässig sei, fällt grund- sätzlich in den Zuständigkeitsbereich der kantonalen Datenschutzbehörden. Dies soll uns jedoch nicht daran hindern, unsere Stellungnahme dazu abzugeben. Aufgrund des neuen KVG müssen die Kantone für die Einhaltung der Versiche- rungspflicht sorgen. Nach welchem Verfahren dies konkret zu geschehen hat, wird den Kantonen bzw. den Gemeinden überlassen. Einige Gemeinden fordern deshalb
eine Kopie des Versicherungsausweises, der in der Regel nicht nur Angaben über die obligatorische Grundversicherung, sondern auch über Zusatzversicherungen, Vorbehalte etc. enthält. Dies ist unverhältnismässig und somit ein Verstoss gegen die allgemeinen datenschutzrechtlichen Grundsätze. Unseres Erachtens genügt es, wenn die Kantone (oder die Gemeinden) ihre Ein- wohner mit einem Merkblatt über die Versicherungspflicht umfassend informieren. Zusätzlich kann noch der Hinweis angeführt werden, dass diejenigen Personen, die ihrer Versicherungspflicht nicht nachkommen, durch die zuständige kantonale Be- hörde automatisch einem Versicherer zugewiesen werden. Schliesslich kann noch auf die möglichen Straffolgen bei Zuwiderhandlungen aufmerksam gemacht werden. Eine mögliche Lösung wäre auch, dass die Kantone eine schriftliche Bestätigung der Versicherten verlangen würden.
F yyr&ir 9hrirxhthirqr F hxrxhr
Wir wurden von einer privaten Unternehmung angegangen, die kantonalen Be- hörden EDV-Dienstleistungen anbietet, welche die Überprüfung des Versicherungs- obligatoriums nach KVG ermöglichen sollen. Gemäss dem uns vorgelegten Konzept sollten die Krankenkassen den kantonalen Behörden Daten über ihre im Kanton wohnhaften Versicherten liefern. In der Anfrage wurde uns mitgeteilt, dass für einen Kanton schon ein Dienstleistungsvertrag bestehe. Für diesen Kanton habe man sich «vertraglich dem Datenschutz unterstellt». Man fasse auch ins Auge, die Dienstleis- tung landesweit anzubieten. Da die Krankenkassen im Bereich des Obligatoriums als Bundesorgane gelten, be- nötigen sie für jede Bekanntgabe von Personendaten eine Rechtsgrundlage. Aus- nahmen von dieser Regel sind nur für Bekanntgaben im Einzelfall vorgesehen. Eine trryvpurB qyhtrfür die fragliche Datenbekanntgabe ist weder im KVG noch in der Verordnung zum KVG zu finden, weshalb die Bekanntgabe in unrechtmässiger Art und Weise erfolgt. Ein weiteres Problem ist in der mangelnden Wr u.yv.vtxrvder Datenbe- arbeitung zu erblicken. Schon vor Bestehen des KVG-Obligatoriums waren nämlich über 99% der Bevölkerung versichert. Es scheint daher vpuhtrrr, eine der- art grosse Menge von Daten betreffend die gesamte Bevölkerung bekanntzugeben, damit ein sehr kleiner Anteil dieser Bevölkerung seinem Obligatorium ebenfalls nachkommt. Sodann ist sowohl eine einmalige als auch eine periodische Bekannt- gabe an die kantonalen Behörden vputrrvtr, das Obligatorium tatsächlich zu überprüfen. Denn solche Bekanntgaben erfolgen stets auf einen Stichtag, nach wel- chem neue Einwohner ins kontrollierte Gebiet zuziehen oder alte Einwohner wegzie- hen können. Der EDSB ist denn auch schon in Fällen angerufen worden, bei denen Personen von der Einwohnerkontrolle gemahnt wurden, obwohl sie schon weggezo- gen waren. Eine vernünftiges Vorgehen bei der Obligatoriumskontrolle betrifft nur einmal die ge- samte Bevölkerung des Kantons und beschränkt sich im folgenden auf die Kontrolle der Migrationen, welche direkt durch die Einwohnerkontrolle durchgeführt werden kann. In einem ersten Schritt können auf einen Stichtag die Bewohner eines Kantons
immer versichert bleibt. Denn gemäss Art. 7 Abs. 5 KVG endet das Versicherungs- verhältnis zum alten Versicherer erst dann, wenn ein neuer Versicherer diesem mit- teilt, «dass die betreffende Person bei ihm ohne Unterbrechung des Versicherungs- schutzes versichert ist». Diese Art der Obligatoriumskontrolle entspricht dem Verhältnismässigkeitsgrundsatz und ist wegen des geringeren Aufwandes auch kostengünstiger.
6.2. Medizinische Statistik der Krankenhäuser
9vrrUurhuhrvrvvtrHhrSrpurvrh xrHrqvr rrvyqvr ar hyvvr thsqvrrrviyrBrivrvqrtryhr@ uritrrr9v rvrhv@ryyrvpuvirqr rqvrA htrqr Wr uyvvt xrvqqr 6vvr t6syrr rBrivrvqvwEtr arvA pu vr irihpur9rpuvrvrhipuyvrrqr7r rvytvHrvput yvpu
Erst Ende 1996 wurde aufgrund von Beiträgen in den Medien der breiten Öffentlich- keit bewusst, welches Ausmass an Konzentration sensibler Daten die geplante me- dizinische Statistik der Krankenhäuser anstrebt. Die Medienberichte gehen wohl teil- weise auch auf Resolutionen zurück, welche dieses Jahr von der Verbindung der Schweizer Ärzte (FMH) zu den medizinischen Statistiken des Bundes und von der nationalen Datenschutzkonferenz zu Datenbearbeitungen im Gesundheitswesen im allgemeinen verabschiedet wurden. Ebenfalls Ende 1996 wurde der EDSB von kan- tonalen Datenschutzaufsichtsstellen angefragt, zu den Fragen der gesetzlichen Grundlage und der Anonymisierung Stellung zu nehmen. Die Frage der gesetzlichen Grundlage stellt sich im Bereich der Statistik auf be- sondere Weise. Erfolgt nämlich eine Datenbearbeitung zu rein statistischen Zwe- cken, so sind die Anforderungen an die gesetzlichen Grundlagen gelockert. Dies hat seine Berechtigung darin, dass diese Datenbearbeitungen ausschliesslich zu nicht personenbezogenen Zwecken erfolgen. Bei der Bearbeitung von sensiblen Daten ist jedoch dem B qhqr Wr u.yv.vtxrvbei der Datenbearbeitung besonde- re Beachtung zu schenken. Dieser Grundsatz stellt gewisse Anforderungen an das Verhältnis zwischen staatlichem Handeln und den durch dieses Handeln verfolgten Zielen. Bevor geprüft werden kann, ob diese Anforderungen erfüllt sind, müssen da- her die Ziele des staatlichen Handelns möglichst genau definiert werden. Dabei ist auch zu prüfen, ob die gesetzten Ziele nicht schon auf anderem Weg verfolgt wer- den oder besser auf anderem Wege verfolgt würden. Insbesondere das Verhältnis zu Bewilligungen nach Art. 321 bis StGB für Forschung im Bereich der Medizin oder des Gesundheitswesens ist hierbei von Interesse. Erst in zweiter Linie stellt sich das Problem der 6vvr t. Dieses wird dann aktuell, wenn sich aus den zu verfolgenden Zielen ergibt, dass Merkmale erhoben werden müssen, woraus Rückschlüsse auf die Identität betroffener Personen mög- lich sind. Sodann ist das Problem der Anonymisierung in zwei Teilaspekte aufzuspal- ten. Zunächst geht es um den «Verbindungscode», welcher erlauben soll, sog. Mehrfachhospitalisationen zu erfassen. Dieser Code soll zwar aus identifizierenden Merkmalen eines jeden Patienten hergestellt werden. Der Code selbst darf jedoch keine Rückschlüsse auf den Patienten erlauben. In bezug auf die Herstellung dieses Codes sind gegenüber dem provisorischen Detailkonzept vom April 1997 Verbesse- rungen zu verzeichnen. Eine Beurteilung des betreffenden Verfahrens ist im Moment nicht möglich, da wir über wesentliche Details noch zuwenig Informationen besitzen.
Insbesondere ist uns noch unbekannt, welche Verfahren (sc.l. welche Hashfunktion) und welche Informationen zur Herstellung des Codes verwendet werden. Der zweite Teilaspekt der Anonymisierung betrifft die Gesamtheit aller erhobenen Merkmale, weil durch Kombination mehrerer Merkmale (beispielsweise genaues Geburtsdatum und Postleitzahl des Wohnortes) betroffene Personen identifiziert werden können, auch wenn jedes dieser Merkmale für sich allein dazu nicht genügend wäre. Solche Möglichkeiten müssen durch sog. Generalisierung (z.B. Geburtsjahr statt Geburtsda- tum, Wohnregion statt Wohnort) vermieden werden, wo immer dies machbar ist, oh- ne die Ziele der Statistik zu vereiteln. Auch hierin ist ein Verweis auf den Grundsatz der Verhältnismässigkeit zu erblicken.
6.3. Ausserkantonale Hospitalisation - Bekanntgabe von medizinischen Daten an kantonale Kostengutsprachestellen
9r @9T7v 7r rvytqr A htrhpuqr ayvtxrvqvrr 9hrirxhth irvpuqvtXrvyqvr6tryrtrurvqvrtrhrTpurvir vssuhr vpu hpu9vxvrvqr 6 irvt rxhhyr 9hrpuhsvpuryyr qrpuqhtrr XrhpuqhDr rrqr xhhyrFrt h purryyrhqr 9hrirxhthirtrtrirvsruyqhqrpuqvrtrr yvpurB qyhtr
Die vorliegende Problematik entspringt der Regelung, wonach ein kantonales Spital für ausserhalb des Kantons wohnhafte Patienten einen höheren Tarif in Rechnung stellen darf als für Kantonseinwohner. Nach Art. 41 Abs. 3 KVG hat in solchen Fällen der Wohnsitzkanton dieser Patienten die Differenz zwischen den in Rechnung ge- stellten Kosten und den Tarifen des Spitals für Einwohner des Kantons zu überneh- men, wenn die Behandlung hrqvvvpurB &qr im anderen Kanton ge- schah. Medizinische Gründe liegen dabei vor in Notfällen, sowie bei denjenigen Be- handlungen, welche weder im Kanton selbst noch in einem Spital der Spitalliste die- ses Kantons angeboten werden. Entsprechend dem Wunsch des Wohnsitzkantons, diese Differenz nicht zu bezahlen, besteht dessen Interesse, das Vorliegen medizini- scher Gründe zu verneinen. Dies wiederum veranlasst den Kanton, sich entspre- chenden Informationen zu beschaffen. Da die fraglichen Datenbekanntgaben von kantonalen Institutionen (Spitäler) an kan- tonale Kostengutsprachestellen erfolgen, konnte sich der EDSB zur Beurteilung der Frage nicht zuständigerweise äussern. Immerhin betrifft die Angelegenheit die ge- samte Schweiz und der EDSB wurde von der Sanitätsdirektorenkonferenz sowie von verschiedenen Spitälern dazu angefragt. Nachdem mit der Arbeitsgruppe kantonaler Datenschutzaufsichtsstellen über die Angelegenheit diskutiert wurde, haben wir uns zur Frage geäussert, ob die Datenbekanntgaben gemäss KVG erlaubt seien. Im KVG selbst findet sich keine ausdrückliche Ermächtigung an die Kantone, sich solche Informationen zu beschaffen. Auch eine entsprechende Verpflichtung der Spi- täler ist weder im KVG noch in der dazugehörigen Verordnung enthalten. Es stellte sich daher die Frage, ob ein Kanton selbst solche Bestimmungen erlassen dürfe. Der tiefere Sinn der Regelung im KVG besteht darin, die Kantone zu koordinierter Pla- nung und Nutzung von Spitalressourcen zu bewegen statt beim komplizierten Gut- spracheverfahren Energien zu verwenden. Daraus wird klar, dass das KVG keine Grundlage für die Datenbekanntgaben an kantonale Kostengutsprachestellen liefern will. In zeitlicher Hinsicht verhält es sich aber so, dass gesamtschweizerisch flächen- deckende Spitalabkommen, welche die Kostengutspracheverfahren überflüssig ma-
chen würden, nicht in einer kurzen Frist machbar sind. Den beteiligten Stellen wur- den denn auch keine direkten Empfehlungen abgeben. Wir haben uns auf praktische Hinweise zur Verbesserung des Datenschutzes trotz Datenbekanntgaben be- schränkt. Dabei wurde insbesondere betont, dass medizinische Informationen nicht einfach an Mitarbeiter einer Verwaltungsstelle gehen sollten. Vielmehr soll der Um- gang mit diesen Daten denjenigen Personen vorbehalten bleiben, welche selbst Me- diziner oder deren Hilfspersonen sind und daher den Umgang mit derartigen In- formationen gewohnt sind.
6.4. Auskunftsberechtigung des Bundesamtes für Sozialversicherung gegenüber kantonalen Behörden (Kassenaufsicht)
@vvtrFhruhirarvsryiqvrq puqh7qrhsE Tvhyr vpur t 7TWtrruvtr@ uutqr F hxrxhr vrvvu rBrivrrir rpuvt rvTvryyrqruhyivBrruvttr shu rqr7TWvv xrqr yhtr 7TW@vvpuvqvrr rpurqrBrpusr yhtrqr F hxrxhr Ehu riqtrir rssrqqvrwrrvyvtrFhtrivrrAE qvrXrvr thirqvrr 9hrq puqh7TWhqvrFhrsruywrqpur r@ hpurqvrrqv trtrryvpurB qyhtrvF hxrr vpur ttrrFWB
Das Bundesamt für Sozialversicherung bat das Bundesamt für Justiz (BJ) abzu- klären, ob und unter welchen Voraussetzungen die Weitergabe der erwähnten Ge- schäftsunterlagen durch das BSV an die Kantone in datenschutzrechtlicher Sicht zulässig sei. Das BJ kam zum Schluss, dass dafür eine gesetzliche Grundlage erfor- derlich sei. Das geltende Krankenversicherungsgesetz (KVG) biete jedoch eine hin- reichende Grundlage, damit die Datenweitergabe sogar auf Verordnungsstufe gere- gelt werden könne. Schliesslich ersuchte uns das BJ noch um unsere Meinung. Für die Weitergabe von Jahresbudgets durch das BSV an die Kantone ist gemäss Datenschutzgesetz grundsätzlich eine gesetzliche Grundlage erforderlich. Im Ge- gensatz zum BJ sind wir jedoch der Ansicht, dass das KVG keine Bestimmung ent- hält, welche die Datenweitergabe durch das BSV auf Verordnungsstufe erlauben würde. Wir verlangen, dass im KVG mindestens eine Norm darauf hinweist, die den Zweck, den Gegenstand sowie den Umfang der Delegation an das BSV möglichst klar umschreibt (Delegationsnorm). Eine solche Delegationsnorm fehlt unserer Mei- nung nach im KVG. Es stellt sich zudem die Frage, ob nicht sogar eine abschliessende und umfassende Regelung im KVG zu fordern sei. Das Zusammenspiel zwischen dem BSV und den Kantonen kann einen starken Eingriff in die Rechtssphäre der Krankenkassen be- deuten. Denn die an die Kantone weitergeleiteten Daten werden von diesen mit den jeweiligen kantonalen Gesundheitskosten verglichen. Die Kantone geben ihre Beo- bachtungen dem BSV weiter, welches - u. a. gestützt darauf - dann die Prämientarife genehmigt oder nicht. Es besteht jedoch die Gefahr, dass die Kantone die Höhe der jährlichen Gesundheitskosten nicht korrekt wiedergeben bzw. wiedergeben können und somit die falschen Schlüsse ziehen. Die Krankenkassen würden dann fälschli- cherweise der unerlaubten Quersubventionen bezichtigt. Zudem ist davon auszuge- hen, dass es den Kantonen im Rahmen des Genehmigungsverfahrens an der nöti- gen Objektivität und Neutralität mangeln könnte. Viele Kantone weisen z. B. sehr hohe Kosten bei der Spitalversorgung auf und sind deshalb zu einem gewissen Grad auch verantwortlich für die sehr hohen Prämienaufschläge. Eine Mitwirkung bzw. «Mitaufsicht» der Kantone bei der Prämiengestaltung bedarf somit mindestens einer klaren Delegationsnorm im KVG. Die Aufsicht über die Krankenkassen - dazu gehört
auch die Genehmigung der Prämientarife - obliegt sowieso dem Bundesrat bzw. dem BSV und nicht den Kantonen. Ob und inwiefern die Weitergabe der Versicherungsdaten durch das BSV an die Kantone datenschutzrechtlich zulässig sei, ist eine Frage, welche nicht nur auf juris- tischer Ebene entschieden wird, sondern auch auf der politischen. Mitte Februar 1997 fand schliesslich ein «Krankenversicherungs-Gipfel» mit allen Beteiligten statt. Es wurde dort beschlossen, die Kantone in die Prämienkontrolle einzubeziehen. Tatsächlich soll dies mit einer Verordnungsänderung geschehen, die bereits für die Prämienrunde 1998 Gültigkeit haben soll.
6.5. Verkauf einer Zahnarztpraxis (Goodwill)
9r 7ir rur rvr ahuh hvqh svpuvqvrrqvvvpurVr yhtrrv rQhvrr@vvpururyhtrqr ir rssrqrQhvrqvrvpur yhi 6puxhqr 7ir trir qr Q hvvFhsr htxrvrypur@vvpuhurr rpur
Im Rahmen der Abwicklung eines Kaufvertrages wurde der EDSB angefragt, inwie- weit der Käufer einer Zahnarztpraxis Einblick in die Patientenunterlagen nehmen dürfe. Grundsätzlich ist davon auszugehen, dass nur der Patient über die ihn betref- fenden Informationen zu bestimmen hat. Dementsprechend liegt es auch an ihm, darüber zu verfügen. Die Einsicht in die blosse Adresskartei ist aber Voraussetzung dafür, dass der Käufer den Patientenstamm über seine Praxiseröffnung informieren kann, wenn dies nicht schon durch den Verkäufer geschehen ist. Die Einsicht in die Adresskartei einer Zahnarztpraxis wurde als unter dem Gesichtspunkt des Arztge- heimnisses unbedenklich bezeichnet. (In heikleren Bereichen, wie z.B. Psychiatrie, Onkologie oder Urologie wäre dies allenfalls anders zu beurteilen.) Eine Einsicht in die medizinischen Unterlagen kann der Verkäufer im Kaufvertrag nicht gültig ver- sprechen. Denn er ist als Geheimnis .tr jedem Patienten gegenüber verpflichtet, diese Informationen für sich zu behalten. Nur der einzelne Patient kann als Geheim- nisur die Weitergabe an Dritte erlauben. Er kann dies sowohl ausdrücklich als auch durch konkludentes Handeln tun, indem er zu erkennen gibt, dass er sich durch den Übernehmer der Praxis behandeln lassen will.
6.6. Medizinischer Fragebogen und die Einwilligung des Patienten für das Inkasso
Xrrv6 rvrQhvrrrvr@vvyyvttsE qvr7rxhthirvu r 9hr Dxhqr 7puuhytrpxrrvuyqvrhsrvrrh hr7yh tr rrqvvvpurA htrr sytr6qr @vvyyvttr xy tsE 7puuhytrpxryyrr vpuyvpurvrypur9hrrypurarpxrh rrvr trtrirr qr
Eine Privatperson wurde gebeten, bei ihrem Arzt auf dem gleichen Blatt neben me- dizinischen Fragen eine Patientenerklärung zu unterschreiben. Mit der Pa- tientenerklärung wurde u.a. die Einwilligung in die Weitergabe ihrer Daten für die Rechnungsstellung, Inkasso und Buchführung eingeholt. Die betroffene Person stör- te sich daran, dass sie nicht nur die Einwilligung zur Weitergabe ihrer allgemeinen Rechnungsdaten, sondern auch ihrer Gesundheitsdaten geben musste. Es ist vorliegend grundsätzlich eine Unterscheidung zwischen den verschiedenen Personendaten (Rechnungstellung und Gesundheitsdaten) vorzunehmen. Es dürfen
nur diejenigen Personendaten beschafft werden, die sowohl nötig als auch geeignet sind, um einen bestimmten Zweck zu erreichen (Verhältnismässigkeitsprinzip). Die erhobenen medizinischen Fragen dringen weit in den persönlichen Bereich des Pati- enten ein, scheinen uns jedoch geeignet, die Qualität der ärztlichen Behandlung zu fördern. Der Patient hat in jedem Fall jedoch das Recht, bestimmte Fragen nicht zu beantworten. Die Einwilligungsklausel muss eindeutig und klar sein. Wer in die Datenbearbeitung einwilligt, muss dies nicht bloss freiwillig, sondern auch und in Kenntnis aller Um- stände über die ganze Bearbeitung tun. Vorliegend müssten dem Patient die Emp- fänger seiner Daten (Inkassobüros, Buchhaltungsfirma, weitere hierfür beauftragte Personen und Institutionen) namentlich bekannt sein. Die Nennung dieser Angaben sollte keine Probleme bieten, da der Arzt die Datenempfänger kennt. Schliesslich präzisierte der Arzt in diesem Sinne die Patientenerklärung. Aufgrund der pauschalen Formulierung und somit mangelhaften Transparenz hätte ansonsten die Patientenerklärung als ungültig betrachtet werden müssen.
& F rqvrr
7.1. Die Führung von Kreditprüfsystemen
Ds hvrEir qvrF rqvE qvtxrvqE srvpuvrvr7 hpurDqrr rvpuvr xEsr qrqhvyvpurQr ryvrhitrs htr qrx r@vF rqv Esrvrpuvputrhyrqh6is htr rvryshyy rvrtyvpuvq9vr@vthirqrIhrqqr qr 6q rryyrtrEtr qvrtrEpur6thirr uhyr@vWr hqB iEir vpurpuyrpu r ahuyr vrirshyyvpur yhi
Aufgrund der Empfehlung des EDSB vom 24. Oktober 1994 dürfen Kreditauskünfte nur aufAnfrage und einzelfallweise erfolgen. Pauschale, listenmässige Übermittlun- gen von Kreditwürdigkeitsinformationen oder Beantwortungen von allgemeinen, nicht anlassgebundenen Anfragen werden damit ausgeschlossen (BBl 1988 II 461). Im Anschluss an die Empfehlung des Eidgenössischen Datenschutzbeauftragten richtete ein Verband ein EDV-Debitoren-System mit einem Reglement für in- teressierte Verbandsmitglieder ein. Damit sollte den Mitgliedern die einzelfallweise Abfrage von Kreditwürdigkeitsinformationen über ihre Kunden ermöglicht werden. Die Suchkriterien wurden EDV-mässig nicht optimal ausgestaltet. Wegen der schwerfällig gestalteten EDV-Abfrage konnten sich die Mitglieder nicht einwandfrei über allenfalls nicht solvente oder säumige Kunden informieren. Daher beabsichtigte der Verband, seine Mitglieder durch den Versand einer Grobübersicht von schlech- ten Zahlern und die Abfrage via Indexverzeichnis zu informieren. Wir sprachen uns jedoch bereits in der erwähnten Empfehlung gegen das Ver- senden von Kreditwarnlisten aus. Wenn sämtliche Verbandsmitglieder Listen über Kunden in schwierigen finanziellen Verhältnissen erhalten, die zum Teil gar nicht be- nötigt werden, wird der Grundsatz der Verhältnismässigkeit verletzt. Ein Rechtferti- gungsgrund, der diese Bearbeitung legitimieren würde, kann nicht geltend gemacht werden. Eine derartige Bearbeitung von Personendaten ist somit als ungerechtfertigt zu qualifizieren. Ferner wurde vorgeschlagen, den Mitgliedern ein Branchenverzeichnis auf CD-Rom zur Verfügung zu stellen, womit sämtliche Kunden (ca. 2'300 Personen) mit Namen
und Adresse abgerufen werden könnten. Das Branchenverzeichnis wäre mit Anga- ben, welche die Mitglieder einer Zentrale liefern würden, verknüpft worden (regle- mentarische Verpflichtung der Mitglieder). Nur Mitglieder könnten einen Anschluss an das System erwerben, um gegen Entgelt die Zahlungsfähigkeit potentieller Kun- den zu prüfen. Die Mitglieder hätten sich vertraglich dazu verpflichten müssen, aus- schliesslich diejenigen Kunden abzurufen, die für einen allfälligen Vertragsabschluss in Frage gekommen wären. Wir sind der Ansicht, dass beim Zugänglichmachen von Kreditinformationen nicht jedes Verbandsmitglied mit allen im Indexverzeichnis aufgeführten Personen einen Vertrag abschliessen will und deshalb nicht auf den Zugang (insbesondere Online) der Kreditinformationen sämtlicher möglicher Kunden angewiesen ist. Das Risiko, dass Unbefugte in Kreditinformationen des Indexverzeichnisses Einsicht nehmen, ist unseres Erachtens sehr hoch und kann vertraglich nicht hinreichend geregelt werden (Beweisfragen bei Missbrauch). Aufgrund dessen haben wir verlangt, die einzelfall- weise Einsichtnahme der Kreditwürdigkeitsinformationen müsse mittels geeigneter, technischer Massnahmen bewerkstelligt werden. Jedes Mitglied sollte die Möglich- keit haben, mittels Eingabe des Kundennamens und/oder der Adresse und/oder Mehrwertsteuer-Nummer die gewünschte Information im Einzelfall abrufen zu kön- nen. Bei verschiedenen Firmennamen sowie bei grösseren Unternehmungen sollte eine einmalige Anfrage genügen, um sämtliche Informationen über eine Unterneh- mung mit verschiedenen Firmennamen oder Niederlassungen abfragen zu können. Im heutigen Zeitpunkt wurde sowohl auf die Realisierung eines revidierten EDV- Systems als auch auf das Versenden einer Grobübersicht der schlechten Zahler ver- zichtet.
7.2. Neuausstellung der Kreditkarte und digitalisierte Unterschrift
9vr9vtvhyvvr tVr pu vsryyrvr rvqvr6urvvqr ir rssr qrQr rvpur ryyr6qr r rvqvrvrqrTpu AyputrXr irrurqrVr pu vsrqvtvhyvvr rvyy wrqpuqvrFqrvs vr rqqr r@vvyyvttrvuyrTsr rvr rqr trqhvr iqr vqvrqvr6sirhu tqr 9hrqr qr trqr 6yytrrvrBrpus irqvttrErqvrFqrrirshyy ur qh Eir vrvr r qr
Eine private Person erkundigte sich, ob ihre Bank die Kreditkarte erneuern und die Unterschrift digitalisieren dürfe, ohne sie vorher darüber zu informieren oder ihre Einwilligung einzuholen. Die Unterschrift ist eine Angabe, die sich auf eine bestimmte Person bezieht, wes- halb deren Bearbeitung vom DSG erfasst wird. Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Um- ständen ersichtlich oder gesetzlich vorgesehen ist. Die Digitalisierung der Unter- schrift des Kunden stellte vorliegend eine weitergehende Datenbearbeitung dar, als im Kartenantrag und den Allgemeinen Geschäftsbedingungen vereinbart worden war. Die betroffenen Personen hätten deshalb vorher über allfällige Änderungen in- formiert werden müssen, um in die Digitalisierung der Unterschrift einzuwilligen. Das Vorgehen der Bank hatte daher nicht den allgemeinen Grundsätzen des DSG ent- sprochen. Ferner bleibt zu untersuchen, ob diese Massnahmen vom technischen Standpunkt aus für die angestrebten Sicherheitsvorkehrungen notwendig und geeig- net sind. Unabhängig von der Notwendigkeit und Zweckmässigkeit der Vorkehrung zur Si- cherstellung der Authentizität der Unterschrift eines Kunden ist die Art und Weise
des Vorgehens nicht datenschutzkonform, weil sie ohne jegliche Information an die Kunden erfolgte. Die Betroffenen müssen auch über die Art und Weise der Aufbe- wahrung informiert werden.
7.3. Breite Bekanntgabe von ZEK-Daten an die Fremdenpolizei
9vrar hyryyrsE F rqvvs hva@F qrvrqr uy6xsr rvyt hqvrA rqryvrviru qrr pu@ryyrvpuqvrA htrr rypurW hrtrqvra@F6xsr rvyrqh s
Bei der Regelung der Anwesenheit von Ausländern sind die Fremdenpolizeibe- hörden gehalten, auch die finanziellen Verhältnisse eines Gesuchstellers ange- messen zu berücksichtigen. Weil sich viele Ausländer mit vorgedruckten Formularen an die ZEK wandten, stellte sich u.a. die Frage, ob eine breite Erhebung bei der als privater Verein konstituierten ZEK kraft Ausländer- und Datenschutzrecht zulässig sei. In einem Gutachten kamen wir zum Schluss, dass breite Erhebungen unter Mit- wirkung der ZEK unzulässig sind. Die Frage, ob die ZEK in begründeten Einzelfällen den Behörden Auskünfte erteilen darf, wurde uns nicht unterbreitet. Nach unserer Auffassung sollte dies möglich sein, wenn die Daten für den Empfänger im Einzelfall zur Erfüllung seiner gesetzlichen Aufgabe unentbehrlich sind und er glaubhaft macht, dass ihm die betroffene Person die Angaben rechtsmissbräuchlich verweigert. Vor- behalten bleiben überwiegende schutzwürdige Interessen und gesetzliche Geheim- haltungspflichten.
' 9v rxh xrvt
8.1. Datenbearbeitung zu Werbezwecken: Nichtbeachtung der Adress-Sperre
Siehe dazu Kontrollbericht auf Seite 45
Der EDSB hat ein Merkblatt für die Adress-Sperrungen erarbeitet, welches im An- hang auf S. 90 zu finden ist.
( Thvvx
9.1. Volkszählung 2000- Die Revision des Volkszählungsgesetzes
9vrBrpus EstxvvqrIhvhy hrtyr r"Uvtxrvir vpuT$&irhs htrqr7qr hrrGtrsE qvrxEsvtr6trhyt qr Wyxuytpur9h7qrhsE ThvvxuhW puytrsE qvrIr h vputqWr rvshputqr Wyxuyt ir rvrDShurqr q pu trsEu rr xyhvhurv qr trpuyhtrrqr trTry ytquhir irhivpuvtrWr rqtqr WyxuytqhrsE qvr IhpusEu tWr hyt rtvr x vvputrr
Damit die zukünftigen Volkszählungen mittels Registern durchgeführt werden kön- nen, müssen die Grundlagen für die Harmonisierung der Gemeinderegister geschaf-
fen werden. In diesem Sinne schlägt das BFS vor, die Personendaten, die bei der Volkszählung erhoben werden, für die Nachführung und Korrektur die Verwaltungs- register der Kantone und Gemeinden zu verwenden. Dies bedeutet, dass die Perso- nendaten, die im Rahmen der Volkszählung erhoben und bis anhin nur für statisti- sche Zwecke verwendet werden durften, in Zukunft auch für Verwaltungszwecke ge- nutzt werden dürfen. Mit der beabsichtigten Revision des Bundesgesetzes über die Volkszählung (VZG) würde das erst seit 1990 eingeführte Verbot der Verwendung von Volks- zählungsdaten für personenbezogene Zwecke aufgehoben. Schon im Vorfeld der Volkszählung 1990 gab es Widerstände bei der Einführung der Datenschutzbe- stimmungen. Der Bundesrat sah damals jedoch die strenge Zweckbindung der erho- benen Daten als einzige Möglichkeit, um die Verwendung der Volkszählungsdaten wirksam begrenzen und kontrollieren zu können. Denn das zentrale Merkmal der statistischen Erhebungen ist die strikte Trennung zwischen statistischen Zwecken und administrativen Zielen. Das bedeutet, dass der Bürger von den Angaben, die er im Rahmen einer statistischen Erhebung macht, keinerlei Konsequenzen zu befürch- ten hat. Mit der beabsichtigten Revision wird jedoch mit dem fundamentalen Prinzip der Sta- tistik (Zweckbindungsgebot) gebrochen. Von der grundsätzlichen Trennung zwischen statistischen Aufgaben und administrativen Zielen wird definitiv Abschied genom- men, und das vielgepriesene Statistikgeheimnis wird relativiert. Wenn das Statistikgeheimnis aufgehoben wird und die Volkszählungsdaten für Ver- waltungszwecke verwendet werden, besteht die Gefahr, dass der Bürger sein Ver- trauen in die Statistik verliert und möglicherweise unvollständige oder falsche Anga- ben macht. Somit werden einerseits Qualität und Zuverlässigkeit der Volkszählungs- daten leiden und die Aufgaben der amtlichen Statistik erschwert, durch die Volkszäh- lung möglichst präzise Personendaten zu erhalten. Andererseits besteht durch der Relativierung des Persönlichkeitsschutzes die Gefahr, dass die aus der Volkszäh- lung gewonnenen Daten zum Nachteil der betroffenen Personen verwendet werden. Durch die Nachführung der Gemeinderegister könnten beispielsweise Anmeldever- säumnisse geahndet werden. Viel grösser ist jedoch die Bedrohung, dass die mit Volkszählungsdaten nachgeführten Einwohnerregister als Hilfsinstrument für viele andere Verwaltungsregister dienen. Die betroffenen Personen sind somit nicht in der Lage herauszufinden, welche Dienststelle die Daten weitergegeben hat beziehungs- weise durch welche Daten oder durch welche Quelle ihnen der Nachteil erwachsen ist. Wir haben die kostengünstige registergestützte Erhebung sowie auch die Har- monisierung der Gemeinderegister begrüsst. Letztere ist Voraussetzung, damit ü- berhaupt eine Registerzählung stattfinden kann. Dies soll jedoch nicht zum Nachteil der betroffenen Personen geschehen, beziehungsweise sollen Verwaltungsregister nicht mit statistischen Daten nachgeführt werden. Langfristig müssen die Volkszählungen registergestützt durchgeführt werden. Und wie die GPK in ihrem Bericht an den Bundesrat erwähnte, muss die Erstellung und Harmonisierung der kantonalen und kommunalen Register unterstützt werden. Dafür müssen zunächst die notwendigen Rechtsgrundlagen geschaffen werden. Die Kan- tone können anschliessend die Harmonisierung oder Erstellung von Verwaltungsre- gistern vorantreiben, welche auch für die Statistik notwendige Merkmale einbeziehen sollen. Diese administrativen Register würden in der Zukunft auch für die indirekte Erhebung der Volkszählungsdaten beigezogen werden, ohne dass es einen Rück-
VZ-Personencode
fluss von statistischen Daten beim «Abgleichprozess» in die Verwaltungsregister gibt (Rückflussverbot). Denn bei der Volkszählung liegt die Gefahr weniger in der Erhe- bung der Daten als in ihrer Nachführung und Kombination. Auch andere europäische Länder, welche Registervolkszählungen durchführen, las- sen aus unterschiedlichen Registern Daten zusammenfliessen. Der Rückfluss der Ergebnisse (Korrektur und Nachführung) der Zählung ist jedoch nicht erlaubt. Somit wird die Volkszählung durchgeführt, ohne dass das Statistikgeheimnis oder der Schutz der Persönlichkeit tangiert wird.
Ob bei der vorgesehenen Revision des Volkszählungsgesetzes die Übernahme von Volkszählungsdaten in die Einwohnerregister oder der effektive Schutz des Einzel- nen gegenüber Verwaltungshandeln vorgeht, stellt einen politischen Entscheid dar und muss anhand einer Interessenabwägung beurteilt werden. Ein solcher Entscheid darf sich jedoch nicht nur von Überlegungen der Wirtschaftlichkeit und Effizienz lei- ten lassen. Deshalb muss bei der Änderung des Verwendungszweckes - nebst Kos- ten und Effizienz - auch der Schutz der Persönlichkeit berücksichtigt werden. Einer Revision des Volkszählunggesetzes, welche das Statistikgeheimnis und den Persönlichkeitsschutz relativiert, können wir nicht zustimmen. Falls jedoch eine sol- che Änderung des VZG beschlossen wird, müssen die Rechte der Betroffenen und die Anforderungen des Persönlichkeitsschutzes gewährleistet werden. Deshalb müssen mindestens folgende Voraussetzungen erfüllt werden:
9.2. Unterschiede zwischen Datenbearbeitungen zu Statistik- und zu Verwaltungs- zwecken
AE qvrir ssrrQr vrrvrryvpur Vr puvrqivu r9hr rv hvvpurarpxrirh irvrr qrqr ivrhst qrvr 9hrirh irv tvxx rrHhhur rpur9hur vqsE qryrr rAhyyv irqr rqvr6s qr trhtrryvpurB qyhtr rtr @vyvt Wr hytqhrhvvpurarpxrhr rvpuhir trxru
Die in Art. 22 DSG aufgestellten Regeln beziehen sich auf alle Datenbearbeitungen s& vpur rirtrrarpxr, wozu als Beispiele Forschung, Planung und Statistik genannt werden. Das Wesen statistischer Datenbearbeitungen liegt aus da-
tenschutzrechtlicher Sicht eben im Fehlen ihres Bezuges zu bestimmten Personen. Das Gegenstück dazu sind sog. personenbezogene Zwecke der Datenbearbeitun- gen, welche immer dann vorliegen, wenn die Datenbearbeitung in individuelle Mass- nahmen oder Entscheide gegenüber den Betroffenen münden kann. Aufgrund von Bearbeitungen zu nicht personenbezogenen Zwecken brauchen die Betroffenen je- doch keine konkreten Eingriffe in ihre Privatsphäre zu befürchten. Aus diesem Grund wird für nicht personenbezogene Bearbeitungen besonders schützenswerter Perso- nendaten vom Erfordernis der ausdrücklichen Grundlage in einem formellen Gesetz abgesehen. Demselben Grundgedanken entspricht, dass Verwaltungsdaten zu sta- tistischen Zwecken ausgewertet werden dürfen, die personenbezogene Verwendung von zu statistischen Zwecken erhobenen Daten jedoch grundsätzlich untersagt ist. Dagegen sind im Rahmen statistischer Datenbearbeitungen bestimmte Regeln ein- zuhalten. Erstens dürfen die Bearbeitungen zu keinen anderen als statistischen Zwecken erfolgen, insbesondere natürlich nicht zu personenbezogenen Zwecken. Zweitens müssen die Daten anonymisiert werden, sobald es der Zweck des Bearbei- tens erlaubt. Dies wiederum erfordert eine möglichst genaue Formulierung des sta- tistischen Zwecks. Und drittens hat die Publikation von Ergebnissen in einer Form zu erfolgen, welche keinen Rückschluss auf die betroffenen Personen erlaubt. Als konkretes Beispiel zu den unterschiedlichen Bearbeitungszwecken weisen wir auf die sog. Administrativdatenstatistik der Krankenversicherung hin. In diesem Be- reich ist aufgrund der bestehenden gesetzlichen Regelung die Abgrenzung zwischen Bearbeitungen zu statistischen und zu personenbezogenen Zwecken kaum möglich. Auch aus der Dokumentation zu den geplanten Datenbearbeitungen lässt sich dies- bezüglich wenig schliessen. Die unter dem Titel «Aufsicht und Statistik» stehenden Art. 21 - 23 KVG enthalten Regelungen zu beiden Arten von Datenbearbeitungen. Unter datenschutzrechtlichen Gesichtspunkten ist dies aufgrund der unterschiedli- chen Anforderungen an Regelungsstufe und Detailliertheit problematisch. Die in Art. 28 - 32 der KVV formulierten Konkretisierungen der Datenbearbeitungen haben eine ausdrückliche Grundlage im KVG selbst nur insoweit, als sie effektiv statistische Da- tenbearbeitungen betreffen (Art. 23 KVG). Sollen sie auch darüber hinaus gültig sein, so besteht die datenschutzrechtlich saubere Lösung darin, die Ermächti- gungsnorm im KVG zu erweitern. Angesichts des Kostendrucks im Gesund- heitswesen sowie der Tatsache, dass eine Gesetzesrevision lange dauern kann, mag als Alternative vorläufig eine möglichst klare Formulierung der verschiedenen Verwendungszwecke genügen. Dadurch kann ein Mass an Transparenz und Klarheit erreicht werden, welches die Versicherer zur Überzeugung kommen lässt, dass dem Bundesamt für Sozialversicherung bestimmte Daten geliefert werden können.
Hvr rpu
10.1. Anmeldeformulare für Mietwohnungen - Der Entscheid der EDSK
Dvpuryvrtqr @purvqqr @vqtrvpur9hrpuxvv @9TFir rssrqr r@sruyt A htr iqvvrrvWr vrr 9h rHvrvr rrrr urirqE sr9vr@9TFrvyvqvr6vpuqhv Cviyvpxhsqr6ipuyrvrHvrr htrvpurvtrpu xDs hvr Qr qr Hvrvr rrrr yhtr qrqE sr7rvqr qhrpu rpuyvpur7r rvytqr ayvtxrvrvryr A htrvwrqpuvpuvhyyr Qxr7ir rvvtr vry qr
Zusammenfassend äussert sich die EDSK wie folgt: Die Frage nach der Anzahl, dem Alter und Geschlecht der Kinder gilt in Abänderung der Empfehlung als generell zulässig, weil diese Angaben sowohl die Vorselektion einer geeigneten Wohnung für den betreffenden Mietinteressenten als auch umge- kehrt eine Vorselektion von Interessenten für eine bestimmte Wohnung erleichtern kann. Soweit es jedoch um die Erhebung der Daten von erwachsenen Personen geht, die im selben Haushalt leben, jedoch ohne Vertragspartei zu sein, ist dies - wie in unserer Empfehlung festgehalten - nur bei Vorliegen besonderer Voraussetzungen möglich (Bestehen einer gesetzlichen Pflicht, statutarische Zielsetzung der Liegen- schaftsverwaltung, Vorliegen anderer wichtiger Gründe). Die EDSK bestätigt in ihrer Beurteilung, dass die aufgrund der Empfehlung zulässige Frage nach dem Jahreseinkommen in abgestuften 10’000 Fr.-Schritten bis Fr. 100’000.- ausreicht, um die finanzielle Situation der Mietinteressenten abzuschätzen. Punktuelle Angaben zur finanziellen Situation, die nicht geeignet sind, ein vollständi- ges Bild der wirtschaftlichen Lage der Interessenten aufzuzeigen, dürfen jedoch nicht verlangt werden (z.B. Fragen nach Abzahlungsverträgen und Lohnzessionen). Hin- gegen erachtet die Kommission die Frage nach der Anzahl von Autos aus der Sicht des Persönlichkeitsschutzes als unproblematisch. Denn diese Angaben können für beide Vertragsparteien von Interesse sein (Verfügbarkeit von Autoeinstellplätzen). Die Kommission bestätigt schliesslich, dass die Kenntnis des Zivilstandes nur bei Vorliegen besonderer Voraussetzungen erforderlich ist. Hingegen wird die Frage nach der Nationalität (Schweizer/Ausländer) als generell zulässig erachtet, weil sich dies auf die Beziehung mit den anderen Mietern auswir- ken kann. Eine erweiterte Fragestellung, wie z.B. hinsichtlich der Kategorie der Aus- länderbewilligung, ist aber im Rahmen einer Vorselektion nicht erlaubt. Unsere Empfehlung, wonach das Einholen von Referenzen durch den Vermieter der Zustimmung des Mietinteressenten bedarf, wird als angemessen beurteilt. Jedoch hat sich das Informationsrecht auf die Bestätigung der im Formular gemachten An- gaben zu beschränken. Die Kommission empfiehlt daher ihrerseits, dieser Rubrik den Vermerk «fakultativ» beizufügen. Dasselbe gilt im Ergebnis auch für die Frage nach dem Arbeitsort, dem Namen und der Adresse des gegenwärtigen Vermieters. Hingegen dürfen Adresse und Telefonnummer des Arbeitgebers erst im Hinblick auf den Vertragsabschluss verlangt werden. Die Datenerhebung im Zusammenhang mit Wartelisten, die sich nicht auf ein konkretes Wohnobjekt beziehen, soll nach Ansicht der EDSK in gleichem Umfang wie bei Anmeldungen für eine bestimmte Wohnung möglich sein. Eine Be- schränkung auf die Angabe von Name und Adresse, wie wir sie in diesem Fall empfohlen haben, rechtfertigt sich nicht. Dies deshalb, weil die Führung von Wartelisten nur sinnvoll ist, wenn der Vermieter dadurch diejenigen Daten erhält, die für die Auswahl des Mieters für das in Betracht fallende Wohnobjekt erforderlich sind. Es ist davon auszugehen, dass das Ausfüllen einer Warteliste in der Regel durch eine gültige Einwilligung gerechtfertigt ist. Über die Beurteilung der oben abgehandelten Einzelfragen hinaus, werden einige Kernfragen des Datenschutzgesetzes durch die EDSK näher abgehandelt und präzi- siert. Demnach ist der EDSB befugt, auch über den konkreten Einzelfall hinausge- hende, generell-abstrakte Empfehlungen zu erlassen. Eine allfällige Weiterziehung an die EDSK hat sich jedoch gegen einen konkreten Adressaten zu richten. Der EDSB kann grundsätzlich zwei Arten von Empfehlungen abgeben: Solche, die im Rahmen seiner Beratungstätigkeit abgegeben werden (Zweckmässigkeitsempfeh- lungen) und solche, die im Kontrollbereich erfolgen und welche letztere (bei Feststel- lung einer Rechtsverletzung) der EDSK vorgelegt werden können.
Die Empfehlungsbefugnis des EDSB ist nach Art. 29 Abs. 1 lit. a DSG weit zu inter- pretieren und nicht bloss auf Fehler von EDV-Informationssystemen zu beschränken. Von einem «Systemfehler» im Sinne der genannten Bestimmung ist auch dann zu sprechen, wenn das System der Bearbeitung rechtswidrig ist. Dies ist dann der Fall, wenn die Bearbeitung geeignet ist, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Schliesslich wurden noch die Anforderungen an eine Einwilligungserklärung präzi- siert. Demnach muss der Einwilligende die Möglichkeit haben, sich frei und in Kennt- nis der sich aus der Einwilligung ergebenden Konsequenzen entscheiden zu können. Mit anderen Worten: Die Vertragsfreiheit sowie die freie Willensentscheidung bezüg- lich der im Rahmen des Vertragsabschlusses verlangten Datenbekanntgabe darf nicht eingeschränkt werden. Es kann daher nicht generell davon ausgegangen wer- den, dass die Bekanntgabe von Daten aufgrund einer rechtswirksamen Erklärung erfolgte. Ob eine gültige Einwilligung vorliegt, ist jedoch aufgrund der tatsächlichen Situation im Einzelfall zu entscheiden. Generell gilt: Je heikler die Daten, desto höher sind die Anforderungen an die Einwilligung zu stellen.
DD 9D@FPIUSPGG@I9@T@9T7
@vhyvtr 6ityrvpu(Avtr hiq pxqhrqr Tpurvq 9rpuyhqhvvpurarpxr
Der Abgleich führte zum Ergebnis, dass 3,3% der Asylbewerber in der Schweiz und in Deutschland ein Asylgesuch gestellt haben. Ein Viertel dieser Zweifach- Gesuchsteller (d.h. weniger als 1% aller Gesuchsteller) sind in Deutschland unter einem anderen Namen als in der Schweiz verzeichnet. Wir haben uns den Abgleich technisch vorführen lassen und waren im grossen und ganzen mit Organisation und Sicherheit zufrieden.
Heute werden in der Schweiz praktisch bei allen Asylbewerbern die Fingerab- druckdaten erfasst und gespeichert. Wir haben diese Lösung wiederholt als un- verhältnismässig bezeichnet und ein differenzierteres Vorgehen gefordert, wie es auch in anderen europäischen Ländern praktiziert wird. In diesem Zusammenhang haben wir auch vorgeschlagen, in Artikel 96 des revidierten Asylgesetzes eine «kann»-Vorschrift zu wählen und die «muss»-Vorschrift zu streichen. Das Ergebnis dieses statistischen Fingerabdruck-Abgleichs spricht nun für unseren Vorschlag. Es ist keineswegs so, dass die Mehrzahl der Asylbewerber den Rechtsstaat mit Doppel- gesuchen «aushebelt», wie bisweilen argumentiert wird. Vielmehr entschliesst sich nur ein kleiner Teil zum Schritt eines Doppelgesuchs. Die statistische Auswertung gibt zu den jeweiligen Motiven keine nähere Auskunft. Zieht man weiter in Betracht, dass nur ein Viertel dieser 3,3% Zweifach-Gesuchsteller unter verschiedenen Na- men verzeichnet sind, wird man jedenfalls bei den übrigen drei Vierteln achtbare Beweggründe vermuten dürfen. Aus der Statistik geht auch nicht hervor, in welchem Ausmass die unterschiedlichen Verzeichnungen in den beiden Antragsländern auf die hinlänglich irxhrQ iyrrirvqr Ihrpu rvirvr zurückzuführen sind. Insgesamt muss das immer wieder ins Feld geführte Argument des Miss-
brauchs doch erheblich relativiert werden. Wir hoffen, dass sich dies auf die gesetz- geberische Arbeit im Sinne unserer Vorschläge auswirkt. Bei der Vorführung des Datenabgleichs im Bundesamt für Flüchtlinge erhielten wir im grossen und ganzen einen guten Eindruck über den Datenschutz und die Daten- sicherheit. Indessen waren wir erstaunt, dass man uns den Systembefehl «Ausdru- cken der Konfiguration der verwendeten Informatikmittel» verweigern wollte. Der EDSB kann seine gesetzlichen Kontrollfunktionen nicht wahrnehmen, wenn er nicht unabhängig Einblick in die zu kontrollierenden Datenbearbeitungen und Bearbei- tungsdokumentationen erhält. Ebenso waren wir über die räumliche und organisato- rische Nähe erstaunt, in welcher die Polizeidaten und die Asylbewerberdaten bear- beitet werden. Unser vor Ort und im Rahmen einer Empfehlung geäusserter organi- satorischer Vorschlag nach einer deutlicheren Abgrenzung zwischen asylbezogenen und polizeibezogenen Kompetenzen bei der Bearbeitung von Fingerabdruckdaten beim Schlüsselmanagement wurde indessen abgelehnt.
! 7ir hputqr 6trryyrq puWvqrxhr h
7ir hputrrh6 irvyhvirqr rWvqrxhr hqE sr h Tvpur urvt Eqrqr F yyrqr 6 irvyrvtrvtrrr qrty! Uvtxrvir vpuT##ssDqvrrahruhtr purv rv7ir h putrrvr vQhvr uhqryvtrVr rutWr rtrtrqh9h rputrrh rwrqpuq vpusrryyr
Nach Anregung eines Angestellten führten wir bei einer im Papiergrosshandel täti- gen Basler Firma eine Kontrolle hinsichtlich der dort installierten Videokameras durch. Das Überwachungssystem besteht aus sieben Videokameras. Diese überwa- chen die im Betrieb strategisch wichtigen Punkte (Standort der Warenanlieferung, Haupteingang und Liftausgang zum Lagerraum). Arbeitsplätze werden nicht direkt erfasst. Zweck der Überwachung ist hauptsächlich die Verhinderung von Diebstäh- len, die Feststellung der unbefugten Anwesenheit von Fremdpersonen sowie eine verbesserte Organisation des Betriebsablaufes. Eine Überwachung des Verhaltens der Arbeitnehmer wird nicht bezweckt. Denn das Überwachungssystem eignet sich aufgrund seiner einfachen Beschaffenheit nicht dazu. Wir stellten des weiteren fest, dass das System nicht dauernd in Betrieb ist. Zudem erlaubt es nicht, die erfassten Bilder zu speichern und weiterzuverarbeiten. Im übrigen wird nicht davon Gebrauch gemacht, die kontrollierten Räume - obwohl ohne weiteres möglich - abzuhören. Das Personal wurde über die Installation der Kameras und der damit verfolgten Ziele in- formiert, und es wurde ihm die Möglichkeit gegeben, sich am Monitor selbst von den erfassten Bildausschnitten eine Vorstellung zu machen. Wir sind deshalb zum Schluss gekommen, dass die Überwachung der Räumlichkeiten aus datenschutz- rechtlicher Sicht weder unrechtmässig noch unverhältnismässig ist.
" 9hrirh irvtXr irrpxr)Ivpuirhputqr 6q rTr r
Trvrrvr xhhyr9hrpuiru qr qrv r hyhsqvrs htE qv trXr ir hxvxrrvr Wr hquhqrysv hhsr xhtrhpuqvrv7r rvpu 6 ytvrqXhu htr rvvtvVhiutvtqhr uvryrv ivur rvEir uqr apu vsrvryshpuru r tr rQr rqvr Uru shpur 6ihutqr irhtrWr hquhqrysv hrvr uvvu Xr irhr vhyr
uvryrXv hurqhur q vtrqr hyhqvr6q rirh irvtrqvrr Av hr pur
Die betreffende Firma betreibt sehr intensiv Direktwerbung, um Produkte aus dem Bereich Wahrsagerei und Astrologie zu verkaufen. Die Adressen stammen einerseits aus Zeitungs-Inseraten oder werden in grossem Umfang bei verschiedenen Ver- sandhäusern, v.a. in der Westschweiz zugemietet. Da in den diversen Adressdateien oftmals dieselben Namen figurieren, werden viele Leute immer wieder mit der glei- chen Werbung belästigt. In Folge der fragwürdigen Prophezeiungen der verschiede- nen Wahrsager, die für diese Firma tätig sind - in Wirklichkeit handelt es sich um standardisierte Computerhoroskope - hat sich in der Westschweiz Widerstand gegen die Werbeschreiben geregt. Bei unserer Besichtigung der Firma zeigte sich, dass nur eine Kundendatei existierte, während refusierte Sendungen oder Adress-Sperrungen nicht erfasst wurden. Wir forderten daher die Firma auf, diesen Mangel innerhalb der ihr gesetzten Frist zu beheben. Sie sicherte uns zu, in Zukunft jeden Werbeversand zunächst mit einer Liste der gesperrten Adressen abzugleichen. Trotzdem erhielten wir weiterhin Re- klamationen von Personen, die trotz Sperrungsanzeige weiterhin Werbesendungen zugeschickt bekamen. Wir sahen uns deshalb dazu verpflichtet, eine zusätzliche und noch eingehendere Kontrolle durchzuführen. Für den Fall, dass das System der Adress-Sperrliste unzureichend funktionieren sollte, stellten wir der Firma ein vorü- bergehendes Datenbearbeitungsverbot bis zur Behebung des Mangels in Aussicht. Anlässlich der zweiten Kontrolle erhielten wir genauere Informationen über die Orga- nisation und die Arbeitsweise der Firma. Insbesondere überprüften wir die neuange- legte Adress-Sperrdatei auf deren Vollständigkeit hin. Wir mussten zu unserem Be- dauern feststellen, dass einige der uns als gesperrt gemeldeten Adressen in der ent- sprechenden Datei fehlten. Wie uns der zuständige Geschäftsführer erklärte, sei dies darauf zurückzuführen, dass die Bearbeitung der Sperrungsanzeigen, von de- ren Eingang an gerechnet, rund einen Monat in Anspruch nehmen würde. Er versi- cherte uns jedoch, für die sofortige Nachführung der Adress-Sperrdatei besorgt zu sein. Bei der Erwägung des weiteren Vorgehens wurde berücksichtigt, dass die frag- liche Firma ordnungsgemäss im Register der Datensammlungen angemeldet ist und mit der Inbetriebnahme einer Adress-Sperrdatei Kooperationsbereitschaft gezeigt hat. Wir setzten der Firma daher eine letzte Frist zur Vervollständigung ihrer Adress- Sperrdatei sowie zur schriftlichen Orientierung der betroffenen Personen. Der zu- ständige Geschäftsführer hat uns inzwischen bestätigt, dass unserem Ersuchen Fol- ge geleistet wurde. Dieser Fall zeigt anschaulich, wie unerwünschte Werbesendungen zu einer Plage für die Betroffenen werden können. Insbesondere ältere und leichtgläubige Personen sind gegenüber unerbetenen Glücks- und Unglücksprophezeiungen und den hartnä- ckigen Mahnungen gleichermassen hilflos. Adressierte Werbung ist eine Erschei- nung unserer Zeit. Sie stellt grundsätzlich eine erlaubte Form zur Erschliessung neu- er Kundenkreise dar. Für den Fall jedoch, dass jemand solcherlei Werbung nicht wünscht, müssen im Interesse aller Beteiligten Mittel und Wege gefunden werden, dass der Wille der potentiellen Kundschaft respektiert wird. An dieser Stelle möchten wir betonen, dass die bestehenden Möglichkeiten der Adress-Sperrung (PTT und Robinsonliste) offenbar nicht ausreichen. Die einschlägigen Firmen selbst müssen daher unbedingt über ihre Pflicht, Adress-Sperrungen zu berücksichtigen, informiert werden.
yhqqhqr B rr
6puqvrpurvr vpurBrpusryyrv6yhqqqvrpurvr vpur B rx yyrirh irvrrvrWvryhuyQr rqhr7rvrvF yyr vA rvi tv7 qvB r h7hryr uvryrv rvrvvr@vq pxEir qrq hxvvr r9hrpu
Anlässlich zweier Kontrollen im Jahr 1996 erhielten wir einen guten Einblick in die Datenbearbeitungen bei der Visaerteilung in einer schweizerischen Geschäftsstelle im Ausland (inzwischen geschlossenes Konsulat Freiburg i.Br.) und an verschiede- nen schweizerischen Grenzkontrollposten im Raum Basel. Diese Behörden stellen die Visa bzw. Sichtvermerke manuell aus. Zuvor konsultieren sie den Schweizeri- schen Fahndungsanzeiger und in Zweifelsfällen das Bundesamt für Ausländerfragen in Bern, welches bei Bedarf weitere Abklärungen trifft. Die Grenzkontrollstellen ver- fügen seit kurzem über (beschränkte) Zugriffe auf das Fahndungssystem RIPOL, das Zentrale Ausländerregister ZAR und nunmehr auch auf die Asylbewerberdaten des AUPER. Die schweizerischen Geschäftsstellen im Ausland verfügen hingegen über keine solchen Zugriffe (mit Ausnahme von einigen grossen Botschaften, welche direkt auf das RIPOL greifen können). Unsere Kontrolle der Datenbearbeitungen beim schweizerischen Konsulat in Frei- burg i.Br. verlief positiv und gab zu keinen Beanstandungen Anlass. Unsere Kontrolle an den verschiedenen Grenzposten im Raum Basel verlief eben- falls positiv. Die kontrollierten Abfragen des RIPOL standen in Einklang mit der RIPOL-Verordnung. Bei den kontrollierten Abfragen des ZAR regten wir an, die auf dem Bildschirm angezeigten Rückweisungsgründe zu codieren. (Das AUPER war im Zeitpunkt der Kontrolle noch nicht eingerichtet.) Ebenso regten wir an, die zum Zeit- punkt der Kontrolle ausstehende Risikobeurteilung gemäss den Sicherheitsweisun- gen des Bundesamtes für Informatik möglichst umgehend durchzuführen und eine Chiffrierung der besonders schützenswerten Daten auf den elektronischen Geräten einzurichten, soweit dies nicht schon geschehen war. Die kontrollierten Bearbeitun- gen der Visadaten und Grenzkontrollrapporte (beide in Papierform) erachteten wir ebenfalls als datenschutzkonform.
$ 9vrrrDqrvxh rD9($
Trvqr Eyv ((#vqvrrrpurvr vpurDqrvxh rD9Fr uyyvpu9vr 6ryytqr Dqrvxh rvrqvr7rqvttrhqvr7rh irvtQr rqhrvqvqr Wr qtqr7qr hrEir qvrDqrvxh rtr rtryD qr arvPxir (($ivH ((%x yyvr rv qvr@vuhytqvrr 6 s qr trv7r rvpuqr9hrpur
Die Bedingungen für die Ausstellung der IDK sowie die damit zusammenhängende Bearbeitung von Personendaten ist in der Verordnung über die schweizerische Iden- titätskarte vom 18. Mai 1994 geregelt. In der Zeit von Oktober 1995 bis März 1996 kontrollierten wir die Einhaltung dieser Anforderungen im Bereich des Datenschut- zes. Wesentliche Gesichtspunkte der Kontrolle waren der Inhalt und der isolierte Charakter der vom Bundesamt für Polizeiwesen (BAP) verwalteten Datenbank, die Zugriffsberechtigungen, die Datenerfassung, die Weitergabe der Daten an den Kar- tenhersteller und das BAP, die Datenbearbeitung, insbesondere die Löschung der
Daten nach Ablauf der Aufbewahrungsdauer, die Verwendung des maschinenlesba- ren Codes sowie die Informationen, die auf der Identitätskarte selbst enthalten sind. Allgemein konnten wir feststellen, dass die vom BAP und vom Kartenhersteller durchgeführten Datenbearbeitungen der Verordnung genügen. Das Eidgenössische Justiz- und Polizeidepartement ist jedoch seiner Pflicht, Wei- sungen über die Anforderungen an die Datensicherheit zu erlassen, nicht nachge- kommen. Desweiteren mussten wir feststellen, dass die vorgeschriebene Frist von zehn Tagen, innerhalb derer der Kartenhersteller alle gespeicherten Daten zu lö- schen hat, nicht eingehalten wird. In der Zwischenzeit ist gewährleistet, dass die Daten beim Kartenhersteller innerhalb von 10 Tagen elektronisch gelöscht werden. Demgegenüber ist die Ausarbeitung von Weisungen über die Anforderungen an die Datensicherheit bis anhin nicht an die Hand genommen worden. Abschliessend möchten wir betonen, dass die Kontrolle in einem sehr guten Klima der Zusammenarbeit stattgefunden hat.
DDD X@DU@S@UC@H@I
Wr ssryvputQr rqhr
1.1. Veröffentlichung von Angaben über Hooligans in der Zeitung «Sport»
Dqr arvtKT L qrIhr6q rrvrBri qhQr r r ssryvpuqvrqr 9vvyvh qTvpur urvxvvqr Ihvhyyvth qrTpurvr vpurAihyyr ihqrvThqvr iriryrt qr
In der Zeitung «Sport» wurden Name, Adresse und Geburtsdatum von Personen veröffentlicht, die von der Disziplinar- und Sicherheitskommission der Nationalliga des Schweizerischen Fussballverbandes mit Stadionverboten belegt wurden. Name, Adresse und Geburtsdatum sind Personendaten im Sinne des DSG. Die Verurteilung durch ein staatliches Gericht ist ein besonders schützenswertes Personendatum im Sinne des DSG. Wir haben vertreten, dass ein von der Disziplinar- und Sicherheits- kommission verhängtes Stadionverbot eine mit den Urteilen staatlicher Gerichte ver- gleichbare Wirkung auf das gesellschaftliche Ansehen der betreffenden Person hat. Aus diesem Grund ist auch das von der Disziplinar- und Sicherhheitskommission gegen eine bestimmte Person verhängte Stadionverbot als besonders schützenswer- tes Personendatum anzusehen und geniesst deshalb einen hohen Schutz. Die Veröffentlichung von Name, Adresse und Geburtsdatum von Personen, über die Stadionverbote verhängt wurden, darf nur erfolgen, wenn sie durch Einwilligung der betreffenden Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Eine Veröffentlichung, dass heisst die Bekannt- gabe dieser Personendaten an die Leser der Zeitung «Sport» und damit an die Öf- fentlichkeit ist durch kein Gesetz gerechtfertigt, noch lässt sie sich durch ein privates oder öffentliches Interesse rechtfertigen. Dagegen lässt sich die Bekanntgabe der Personendaten an die Organe rechtfertigen, die für die Gewährleistung von Sicher- heit und Ordnung bei den und im Umfeld von den stattfindenden Spielen zuständig sind. Es dürfen jedoch aus Gründen der Verhältnismässigkeit nicht vollständige Lis- ten sämtlicher mit Stadionverboten belegten Personen an die Sicherheitsorgane
sämtlicher Stadien verteilt werden. Vielmehr sind die Personendaten nur den Sicher- heitsorganen der Stadien mitzuteilen, für die das Stadionverbot ausgesprochen wur- de.
1.2. Veröffentlichung eines Berichts über die Vermögen der Opfer des Nationalso- zialismus
9vrDs hvqr Jssryvpuxrvqqhuv vpurDr rrxrqvrWr ssr yvputrvr7r vpurEir qvrWr trqr Ihvsr qqvr6ixrvqr r vpurGqr r Irtqr Ihrhyyr ir ssrrQr rvpu rpusr vtr9r Qr yvpuxrvpuqqvrB q rpurr s qr rvrrvtr urqr6vvr tqr7r vpu qr Wr ssryvput@vvtqvrIhr hE yvpurqw vvpurQr rqvrrvrrpurvqrqrssryvpurSyyrtr vryuhirqE srr ssryvpur qr
Der EDSB wurde im Zusammenhang mit der Veröffentlichung des Berichts zweier Historiker, die im Auftrag des EDA Licht in die Angelegenheit der Vermögen der Na- ziopfer und der Entschädigungsabkommen mit Osteuropa bringen sollten, um eine Stellungnahme gebeten. Der Bericht soll vor allem das Verhalten der schweizeri- schen politischen Behörden und der Verwaltung im Zusammenhang mit den von den Naziopfern in der Schweiz hinterlegten Vermögenswerten und mit der Entschädigung für - aufgrund der Abkommen zwischen der Schweiz und osteuropäischen Ländern - verstaatlichte Güter beleuchten. Der Bericht führt die Namen zahlreicher bereits ver- storbener oder noch lebender Personen auf (Bundesräte, Minister, Botschafter, Di- rektoren, Beamte, Bankiers, Personen, die mit den nachrichtenlosen Vermögen zu tun hatten, Anwälte, usw.) sowie Informationen zu diesen Personen (vor allem Erklä- rungen oder Stellungnahmen). Sofern die Informationen sich auf noch lebende Per- sonen beziehen, kommt das Bundesgesetz über den Datenschutz zur Anwendung. Der Persönlichkeitschutz verstorbener Personen jedoch endet grundsätzlich mit ih- rem Ableben. Vorbehalten bleibt allerdings der Persönlichkeitsschutz der Angehöri- gen.
Weiter ist zu erwähnen, dass der Grossteil der fraglichen Forschungsarbeit sich nicht auf betroffene Personen bezieht und dass die Resultate in einer Form veröffentlicht werden sollten, die keine Identifizierung der betroffenen Personen zulässt. Allerdings wird in einem Teil der Forschungsarbeit doch auf diese Bezug genommen, zumal dort das Verhalten bestimmter öffentlicher Persönlichkeiten geprüft wird, die wäh- rend der untersuchten Zeitperiode die Verantwortung in den erwähnten Bereichen übernommen hatten. Mithin untersteht die Veröffentlichung der diesbezüglichen Per- sonendaten Artikel 19 DSG. Danach ist die Veröffentlichung nur zulässig, wenn
sie auf einer Rechtsgrundlage beruht;
die Daten für den Empfänger im Einzelfall für die Erfüllung seiner gesetzlichen Aufgabe unentbehrlich sind;
die betroffene Person im Einzelfall eingewilligt hat oder die Einwilligung nach den Umständen vorausgesetzt werden darf;
die betroffene Person ihre Angaben allgemein zugänglich gemacht hat. Es ist davon auszugehen, dass zumindest implizit eine Rechtsgrundlage für ein ü- berwiegendes öffentliches Interesse besteht. In Zukunft wird sich die Frage nicht mehr stellen: Mit dem Bundesbeschluss vom 14. Dezember 1996 betreffend die his- torische und rechtliche Untersuchung des Schicksals der infolge der nationalsozialis- tischen Herrschaft in die Schweiz gelangten Vermögenswerte wurde eine klare Ge-
setzesgrundlage für die Veröffentlichung der Forschungsresultate der Bergier- Kommission geschaffen.
Bei der Bekanntgabe bzw. der Veröffentlichung müssen zudem die allgemeinen Be- arbeitungsgrundsätze für Daten und insbesondere der Grundsatz der Verhält- nismässigkeit beachtet werden. Es ist darauf zu achten, dass die Bekanntgabe die Grundrechte und die Persönlichkeit der betroffenen Personen möglichst wenig be- einträchtigt. Vor allem aber ist die Tatsache zu berücksichtigen, dass ein solcher Be- richt wegen seiner Bedeutung für Politik und Medien für eine breite Öffentlichkeit be- stimmt ist. Höchstwahrscheinlich wird er auch bald auf einer Internet-Seite in der Schweiz oder im Ausland verfügbar sein. Aus diesem Grund ist vor der Veröffentli- chung der Namen der betroffenen Personen grösste Vorsicht geboten. Die Veröf- fentlichung der Namen von Personen die im Zusammenhang mit subjektiven, nicht absolut fundierten oder sogar umstrittenen Beurteilungen muss somit vermieden werden, ausser wenn das öffentliche Interesse die Wahrung der Anonymität über- wiegt (was jedoch im vorliegenden Fall nicht nachgewiesen wurde). Deshalb dürfen Namen von Personen nur veröffentlicht werden, wenn sie für das Verständnis der Geschehnisse unentbehrlich sind. Dabei handelt es sich insbesondere um die Na- men von öffentlich bekannten, natürlichen und juristischen Personen (vor allem Per- sönlichkeiten des öffentlichen Lebens), die politische, wirtschaftliche und moralische Verantwortung trugen und Entscheidungen zu treffen hatten.
Der EDSB ist daher zum Schluss gelangt, dass die meisten der im Bericht ge- nannten Personen anonymisiert werden können. So ist es nicht erforderlich, zu- sätzlich zu den jeweiligen Verwaltungsstellen die Namen der mit dem Dossier beauf- tragten Beamten zu nennen, sofern diese keine Führungspositionen inne hatten und in dieser Eigenschaft öffentlich bekannt waren. Gleiches gilt für die Namen der Nazi- opfer und ihrer Familien, welche Schritte eingeleitet hatten, um die Vermögenswerte zurückzuerlangen. Die noch lebenden Personen sind nicht unbedingt daran interes- siert, dass ihr Name veröffentlicht und weit verbreitet wird. Schliesslich sollten auch die Namen der von den Opfern und ihren Familien beauftragten Anwälte nicht veröf- fentlicht werden. Prinzipiell spricht jedoch nichts dagegen, die Namen der involvier- ten Banken, der damaligen Bundesräte, der ausländischen Minister und der unmit- telbar beteiligten Direktoren von Bundesämtern zu veröffentlichen. Gleiches gilt für die Botschafter und ranghohen Beamten, die an bestimmten Verhandlungen teil- nahmen, sofern deren Namen für das Verständnis der Geschehnisse bekannt sein müssen.
1.3. Veröffentlichung von nicht anonymisierten Bundesgerichtsentscheiden im In- ternet
9h7qrtr vpuryyrvrUrvyqr 7qrtr vpurpurvqrqr Jssryvpuxrv vvpuhvvr r A Eir qhDr r Wr sEttD7qrtrrEir qr9hrpuvsrtruhyrqhsE rvrypur9hrirxhthirrvr rpu yvpurB qyhtrrqvtv
Wir haben das Bundesgericht darauf aufmerksam gemacht, dass ein einfacherer Zugriff auf die Bundesgerichtsentscheide durchaus begrüssenswert sei. Dabei sind allerdings die rechtlichen Rahmenbedingungen für das Zugänglichmachen von In- formationen zu berücksichtigen.
Das Bundesgesetz über den Datenschutz (DSG) hält in Art. 17 Absatz 2 fest, dass besonders schützenswerte Personendaten, wie z. B. strafrechtliche Verfolgungen oder Sanktionen (Art. 3 Bst. c DSG) nur bearbeitet werden dürfen, wenn dies in ei- nem formellen Gesetz ausdrücklich vorgesehen ist. Im weiteren wird in Art. 19. Abs. 3 DSG aufgeführt, dass Bundesorgane Personendaten durch Abrufverfahren (z. B. Online-Verfahren via Internet) zugänglich machen dürfen, wenn dies ausdrücklich vorgesehen ist. Besonders schützenswerte Personendaten sowie Persönlichkeits- profile dürfen nur durch ein Abrufverfahren zugänglich gemacht werden, wenn ein formelles Gesetz dies ausdrücklich vorsieht. Dem Zweck der Informationsvermittlung über das Internet wäre Genüge getan, wenn die Daten in anonymisierter Form zur Verfügung gestellt würden. Dann würde aus der Sicht des Datenschutzes auch die Forderung nach einer rechtlichen Grundlage entfallen.
! avvyqvr
2.1. Das Datenbearbeitungssystem über den Zivildienst ZIVI
9vrDir vrirtqrTraDWDsEu rvr r rvshpurqrssvvrrBr hytqrWyytrqravvyqvrr9r qhtru vtrWr qtEir qhD s hvrqravvyqvrrvrv r qrW iruhyqhqvrr iv@qr ((' rvqvr v q
Mit dem Informationssystem ZIVI wird eine grössere Anzahl besonders schüt- zenswerte Personendaten bearbeitet. Darunter finden sich Daten wie Religion, Welt- anschauung, Zugehörigkeit zu Gruppierungen und Sekten, Arbeitslosigkeit, Diszipli- narverfahren, Massnahmen der sozialen Hilfe und Gesundheit der zivil- dienstpflichtigen Personen. Am System ZIVI sind mehrere Stellen (zentrale und de- zentrale Vollzugsstellen des Bundesamtes für Industrie, Gewerbe und Arbeit sowie die Militärversicherung) beteiligt. Auch Dritte, die mit dem Vollzug von Aufgaben in Zusammenhang mit dem Zivildienst betraut wurden, sind am System angeschlossen. Einige der beteiligten Stellen sind am System online verbunden. Das Bundesgesetz über den Datenschutz sieht für solche Systeme die Schaffung einer gesetzlichen Grundlage im formellen Sinne vor. Eine formelle gesetzliche Grundlage wurde im Bundesgesetz über den zivilen Ersatzdienst geschaffen. Dabei wurde jedoch die Be- arbeitung von besonders schützenswerten Personendaten nicht vorgesehen. Die formellgesetzliche Grundlage des Systems ZIVI ist somit bei der nächsten Revision des Gesetzes an die datenschutzrechtlichen Anforderungen anzupassen. Wir haben weiter verlangt, dass die Verordnung über das Informationssystem ZIVI die Details der Bearbeitung von besonders schützenswerten Personendaten ausdrücklich re- geln soll. Insbesondere soll die Verordnung die Zugriffsberechtigungen, die beteilig- ten Stellen und Dritte, den Zugriffszweck und -umfang sowie die davon betroffenen Daten normieren. Zum Zeitpunkt der Inkraftsetzung des Zivildienstgesetzes (1. Okto- ber 1996) erfüllte die entsprechende Verordnung die datenschutzrechtlichen An- forderungen noch nicht. Wir waren uns jedoch bewusst, dass das System ohne Ver- zug in Betrieb gesetzt werden musste. In diesem Sinne erklärten wir uns mit der Verordnung unter der Bedingung einverstanden, dass diese bis Ende 1998 zu revi- dieren ist.
" 6 puvrr
3.1. Schutzfrist für besonders schützenswerte Personendaten und Persönlich- keitsprofile im neuen Archivgesetz
9r 7qr huhqvrTpus vsE irqr puErr rQr rqhr vrsE Qr yvpuxrv svyrvrr6 puvtrrhs$Ehu rsrtryrt
Der Bundesrat hat nach Ämterkonsultation und grossem Mitberichtsverfahren Bot- schaft und Entwurf des neuen Archivgesetzes (vgl. dazu 1. Tätigkeitsbericht S. 50ff.) gutgeheissen und die Schutzfrist für besonders schützenswerte Personendaten und Persönlichkeitsprofile auf 50 Jahre seit dem jüngsten Dokument festgelegt. Ursprünglich hatten wir für besonders schützenswerte Personendaten und Per- sönlichkeitsprofile eine Schutzfrist von mindestens bis zum Tod der betroffenen Per- son gefordert. Diese Forderung beruhte auf der Kenntnis, dass zum einen in ande- ren Ländern wie Deutschland Schutzfristen für alle Personendaten und nicht nur für besonders schützenswerte Personendaten und Persönlichkeitsprofile von bis zu 10 Jahren nach dem Tod bestehen, zum anderen auch in der Schweiz zum Beispiel der Kanton Zürich eine Schutzfrist für besonders schützenswerte Personendaten bis zum Tod der betroffenen Person vorsieht. Wir waren der Forderung einer Reduzie- rung nachgekommen und hatten uns mit dem Bundesarchiv auf eine Schutzfrist von 70 Jahren einigen können. Um so erstaunter waren wir, als wir aus den Medien er- fahren mussten, dass zum einen das grosse Mitberichtsverfahren abgeschlossen wurde, ohne dass wir begrüsst wurden, zum anderen die Schutzfrist von 70 Jahren auf 50 Jahre reduziert wurde.
4.1. Das Bereitstellen von Mitarbeiterdaten durch die Bundesverwaltung im Abruf- verfahren
66shthqqr XpuqrDuhyqr@vqtrvpurThhxhyrqr q qrUryrsr rvpuvrqr 6yytrrvr7qrr hytvrvrq pu6i s r shu rttyvpurWr rvpuv Wr sEttryyr9r qr 6 irv t rr hipuvrqrrW puyhtsE rvrWr qtyyqr@vh6q r r rvpuvrvqr 7qrr hyt rtry
Wie im 3. Tätigkeitsbericht (S. 27) erwähnt, wurde vom Bundesamt für Informatik eine Arbeitsgruppe mit Vertretern der Bundeskanzlei und uns ins Leben gerufen mit dem Ziel, für die Zurverfügungstellung von Angaben über Mitarbeiter in Verzeichnis- sen (z. B.: X.500) eine genügende Rechtsgrundlage auszuarbeiten. Mit der Erarbei- tung eines Verordnungsentwurfs für die Bundeskanzlei wurde die Arbeitsgruppe auf- gelöst, da die definitive Fassung der Verordnung im Rahmen der Ämterkonsultation festgelegt wird. Dieser Entwurf beinhaltet Bestimmungen zu Adressverzeichnissen in der Bun- desverwaltung. So werden Zweck, Inhalt, der Zugriff auf die Informationen, die Rech- te der Betroffenen, die Pflicht zur Information über Risiken und Verantwortlichkeiten geregelt. Ebenso wurde festgelegt, dass der Zugang mittels Abrufverfahren verwal-
tungsextern auf Ansprechpartner (Mitarbeiter der Bundesverwaltung, die der Öffent- lichkeit gegenüber als Ansprechpartner dienen) gegenüber Dritten beschränkt ist.
4.2. Weitergabe von Daten aus der Sonderabfall-Datensammlung des BUWAL
Aruyrvrh rvpurqrtrryvpur@ puvttqE srqvr9hrTqr hi shyy7r vrir vqrwrrvyvtr@vr qvqrir ssrr7r vrirrv r trtrirr qrXv qqvr9hrhytrvr9 vrhtryhtr tryrsE qvrrqvrtyrvpur6s qr trvrsE qh7qrhsE VryXhyqq Ghqpuhs7VX6G
Das BUWAL unterbreitete uns die Frage, ob und unter welchen Voraussetzungen es seine Sonderabfall-Datensammlung auf elektronischem Datenträger einer privaten Firma übergeben dürfe und ob diese Daten an weitere Adressaten in der Schweiz und im Ausland bekanntgegeben werden dürften. In unserer Antwort teilten wir dem BUWAL mit, dass die fragliche Datensammlung nur aufgrund einer ausdrücklichen gesetzlichen Erlaubnis oder aber mit dem Einverständnis der betroffenen Betriebe an Firmen in der Schweiz oder im Ausland bekanntgegeben werden dürften. Die Ad- ressaten hätten zudem hinreichende Gewähr für die sichere und zweckkonforme Bearbeitung der Daten zu bieten. Weil weder eine gesetzliche Ermächtigung noch die Einwilligung der Betroffenen vorlag, erachteten wir die Datenbearbeitungen als unzulässig und beantworteten die gestellte Frage negativ.
4.3. Weiterleitung von ausführlichen ärztlichen Berichten direkt an die Fremdenpo- lizeibehörden
W yvpur Trvr qrv qh hshsr xhtrhpuqh rr puvr qryvpuhtruhyrr qr7r vpurEir hyqvpuQhvrrvxyvr9vhtr qF hxrtrpuvpurqv rxqrA rqryvrviru qr Wr sEttryyr @vrr hr yvpurDhsruyr
Nach Ausländergesetz dürfen sich Ausländer zum Zweck der ärztlichen Behandlung in der Schweiz aufhalten. Soweit hierfür eine Bewilligung erforderlich ist, müssen sie der Bewilligungsbehörde die nötigen Angaben machen. Handelt es sich dabei um detaillierte Angaben über die Gesundheit, dürfen unseres Erachtens solche Angaben nur Personen zugänglich gemacht werden, welche dem Arztgeheimnis unterstehen (Medizinalpersonen). Diese sollen der zuständigen Behörde den entscheidwesentli- chen Befund in knapper Form mitteilen. Auf diese Weise werden die Gesundheitsda- ten grundsätzlich nur von Ärzten bearbeitet. Das Ausländergesetz kann so gleich- wohl umgesetzt werden. Wir stehen weiterhin mit den zuständigen Behörden in Kontakt, um auf eine daten- schutzkonforme Praxis hinzuwirken.
4.4. Bekanntgabe eines administrativen Untersuchungsberichts an die Geschäfts- prüfungskommissionen
Brqr7qrtrrEir qrBrpusr xru qr 7qrr hyt BWBxrqvrBrpus Estxvvrqr rvqtrvpurSrqvr 7ir vytrvrVr putir vpur yhtrTsr qr 7r vpuQr r
qhrruyr ruqvr7rxhthirt qyvpuqr7rvtrqr 7qrtrrrEir qr9hrpu9TBDirqr rvqr B qhqr Wr uyvvtxrvhu rTyyrqrBrpus Estxvvr qvr @ sEyytvu r trryvpur6svpuvtxrvrrqvtr9hrirxh trtrirr qrXrssrvpuyvpuqvrTpuysytr trq@sruytrqr 7r vpuhyyrvh rvpuriqvrIhrqr v7r vpur urQr rvpu vtvqvqr r7rxhthirrrqr rvpu xrqr qr 7r vpu qr 7ir vytrvyrvrqr yyqvthvvr r
Das EVD hat den EDSB um eine Stellungnahme zur Bekanntgabe eines admini- strativen Untersuchungsberichts an die Geschäftsprüfungskommissionen der eidge- nössischen Räte gebeten. Im Bericht werden bestimmte Fehler und Nach- lässigkeiten von Seiten der Beamten sowie bestimmte rechtswidrige Handlungen, die eine Strafverfolgung nach sich ziehen könnten, festgestellt. Der Bericht führt die Namen der in der fraglichen Angelegenheit involvierten Personen sowie deren Hand- lungen und Erklärungen auf. Sofern diese Informationen sich auf bestimmte und be- stimmbare Personen beziehen, handelt es sich um Personendaten. Einige dieser Informationen gehören zu den besonders schützenswerten Daten, zumal sie auf ge- setzwidrige Handlungen mit strafrechtlichen oder disziplinarischen Folgen verweisen. Die Bearbeitung und insbesondere die Bekanntgabe der Personendaten unterstehen dem DSG. Im vorliegenden Fall ist die Bekanntgabe nur möglich, wenn sie in einer Gesetzesbestimmung vorgesehen ist oder wenn die Informationen für den Empfän- ger zur Erfüllung seiner gesetzlichen Aufgaben unentbehrlich sind.
Die Bestimmungen des GVG bilden eine ausreichende gesetzliche Grundlage, um die Bekanntgabe des Untersuchungsberichts an die Geschäftsprüfungskom- missionen zu rechtfertigen. Dem Antrag ist daher grundsätzlich stattzugeben, ausser wenn die Wahrung eines Amtsgeheimnisses, die Wahrung schutzwürdiger persönli- cher Interessen oder ein noch nicht abgeschlossenes, laufendes Verfahren die Ein- reichung eines Sonderberichts rechtfertigen, worin einzig die Schlussfolgerungen und Empfehlungen des Untersuchungsberichts bekanntgegeben werden. Falls der Inhalt des Untersuchungsberichts bekanntgegeben wird, sind die Bestimmungen des DSG und namentlich die allgemeinen Bearbeitungsgrundsätze zu beachten. Dabei muss sich die Bekanntgabe auf jene Informationen beschränken, welche die Ge- schäftsprüfungskommissionen zur Erfüllung ihrer gesetzlichen Aufsichtsfunktionen benötigen; die Personendaten sind nach Möglichkeit zu anonymisieren. Kann der Bericht nicht anonymisiert werden, so sollten im übrigen die betroffenen Personen über die Bekanntgabe unterrichtet werden (Grundsatz von Treu und Glauben). Die letzte Anforderung konnte im vorliegenden Fall aus praktischen Gründen nicht erfüllt werden.
$ 9hrpuq rpuyvpurShurirqvttr
5.1. Gesetzlich vorgeschriebene Datenbearbeitung und Information der Betroffe- nen
Xr Qr rqhrirh irvrxhqrVthtvqrQiyvxr yrvpur r qvrir ssrrQr r ur qh Eir vs vr r qr@vwrqpuqh hs hpurqhhpuyvryvpu9hrr rqrr qrqvrhxryyq vpuvtvq Ahypur9hrErir vpuvtr qrxr
Mit der Revision des Urheberrechtsgesetzes (URG, SR 231.1) wurde einer privaten Person (Verwertungsgesellschaft) die Kompetenz zum Einfordern von Reprographie- Entschädigungen übertragen. Damit diese Bundesaufgabe erfüllt werden kann, mussten die erforderlichen Daten beschafft, bearbeitet und den betroffenen Perso- nen in Rechnung gestellt werden. Wir wiesen die Verwaltungsgesellschaft darauf hin, dass die Betroffenen über die Bearbeitung ihrer Personendaten informiert wer- den sollten (Wahrnehmung einer Bundesaufgabe durch eine private Person, rechtli- che Grundlagen, Kostenberechnung und ähnliches). Die betroffenen Personen wur- den jedoch nicht darauf aufmerksam gemacht. Insbesondere wurden sie nicht über die Möglichkeit des Auskunfts- und Berichtigungsrechts gemäss DSG informiert. Verschiedene Rechnungsempfänger ärgerten sich über die teilweise falschen Rech- nungsangaben und wollten wissen, wer die falschen Daten über sie erhoben habe. Obwohl die Herkunft der Daten im Gesetz nicht ausdrücklich erwähnt wird, heisst dies nicht, dass Dritte, die im Auftrag Daten beschaffen, den betroffenen Personen auf Anfrage nicht gleichwohl bekanntgegeben werden müssen. Der Anspruch auf Kenntnis der Herkunft der Daten ergibt sich auch aus der per- sönlichkeitsschützenden sowie rechtsstaatlich-demokratischen Funktion des Aus- kunftsrechts. Die Bekanntgabe der Quelle an den Betroffenen darf erst dann unter- bleiben, wenn dem überwiegende Geheimhaltungsinteressen gemäss Art. 9 DSG entgegenstehen. Eine Einschränkung der Auskunftspflicht müsste entsprechend be- gründet werden. Eine private Person, die mit öffentlichen Aufgaben des Bundes betraut ist, wird im datenschutzrechtlichen Bereich als Bundesorgan betrachtet. Sie hat einem Ge- suchsteller alle über ihn in der Datensammlung vorhandenen Daten mitzuteilen. Wenn zusätzlich auch die Herkunft der Daten und damit die Adresse von Auftrag- nehmern verlangt wird, sind diese wenn möglich bekanntzugeben. Die betroffene Person hat nämlich ein berechtigtes Interesse, ihre unrichtigen Daten auch bei Drit- ten berichtigen zu können. Aus diesen Gründen haben wir der Inhaberin der Daten- sammlung empfohlen, jenen Personen, über die unrichtige Daten bearbeitet wurden und welche die Herkunft der Daten verlangten, die Adresse (allenfalls nach vorgän- giger Orientierung) der Firma bekanntzugeben, damit eine notwendige Berichtigung der Daten an den entsprechenden Stellen verlangt werden konnte. Falls die Herkunft der Daten nicht bekanntgegeben werden kann (z.B. unbekannte Quelle), muss die private Person selbst den betroffenen Personen zusichern, für die Berichtigung der unrichtigen Daten zu sorgen. Mit den beiden obgenannten Varianten über die Berichtigung von falschen Daten (durch die betroffene Person selbst oder durch die Inhaberin der Datensammlung) kann die aus mangelhafter Information erzeugte Verunsicherung über die Herkunft und Richtigkeit der Daten beseitigt werden.
5.2. Das Recht auf Auskunft und das Register der Datensammlungen
Xr Eir qvr7rh irvtrvr 9hr6xstryrqhpurvyyqvr Duhir qr 9hrhytr yhtrCvtrtrr ryyqsEu qr @9T7rvs sryvpurSrtvr 9hrhytrqvr7qr thrqr vhr Qr rirh irvrr qr9h hr vpuyvpuvqwrqpu Fhrt vrQr rqhrqxrvrr yvpur6thir
Der Eidgenössische Datenschutzbeauftragte erhält immer wieder Anfragen von pri- vaten Personen, die Auskunft über ihre persönlichen Daten geltend machen. Diese
Anfragen können von uns nicht beantwortet werden, da der EDSB nur ein Register mit Kategorien von Datensammlungen ohne persönlichen Daten führt und deshalb keine Auskunft über den Inhalt geben kann. Die ersten vier Bände des Registers des EDSB wurden 1996 publiziert und be- inhalten Datensammlungen:
Den anfragenden Personen wird regelmässig geraten, sich direkt an den Inhaber der sie interessierenden Datensammlung zu wenden. Sofern dies ein Bundesorgan oder eine private Person ist, kann diesfalls das Auskunftsrecht gemäss Art. 8 DSG gel- tend gemacht werden. Dazu hat die betroffene Person ein Gesuch um Auskunftser- teilung einzureichen und sich dabei über ihre Identität (zum Beispiel Kopie von ID oder Pass) auszuweisen. In der Folge muss ihr der Inhaber der Datensammlung alle über sie vorhandenen Daten, gegebenenfalls die Kategorien der bearbeiteten Per- sonendaten, der an der Sammlung Beteiligten und der Datenempfänger mitteilen. Die Auskunft oder der begründete Entscheid über die Beschränkung des Auskunfts- rechts hat innert 30 Tagen grundsätzlich kostenlos zu erfolgen. Kann die Frist nicht eingehalten werden, hat der Inhaber der Datensammlung die anfragende Person zu benachrichtigen und ihr die Frist mitzuteilen, in der die Auskunft erfolgen wird. Nor- malerweise erfolgt die Mitteilung in Form eines Ausdrucks oder einer Fotokopie der betreffenden Dokumente. Das Register dient auch als Kontrollinstrument und kann von jeder Person konsultiert werden, um erhaltene Auskünfte der Inhaber von Datensammlungen zu überprüfen. Falls jemand sein Auskunftsrecht bei einer kantonalen Behörde geltend machen möchte, hat er sich direkt an die zuständige kantonale Stelle zu wenden.
5.3. Juristische Personen und das DSG
Q vhrQr rqvrQr rqhrirh irvrr qrBrytir rvpuqr 9TBr shVr vhrQr rr qruyhE yvpurhyhpuw vvpur Qr rr hqraqrw vvpurQr rtru r76xvrtrryypuhs rBrryypuhsrvirpu xr ChstBrrpuhsrTvstr6hy rvrF r puhsr
Eine private Person reichte bei einer Stiftung ein Gesuch um Auskunftserteilung ge- mäss Art. 8 DSG ein. Das Gesuch wurde nicht beantwortet, weil davon ausgegangen wurde, dass die Stiftung vom DSG nicht erfasst werde. Private Personen, die Personendaten bearbeiten, werden grundsätzlich vom DSG erfasst. Es ist jedoch nicht immer einfach, zu entscheiden, ob die datenbearbeitende Person als private Person oder als Bundesorgan einzustufen ist. Der Gesetzgeber hat als entscheidendes Kriterium die rechtliche Natur der Tätigkeit, welche der Da- tenbearbeitung zugrunde liegt, herangezogen. Von Fall zu Fall muss abgeklärt wer- den, ob eine Tätigkeit auf privatem oder öffentlichem Recht beruht. Eine Stiftung, welche die laufenden Geschäfte tätigt und dabei Miet- Arbeits- und Kaufverträge ab- schliesst, ist unseres Erachtens eine privatrechtliche Stiftung im Sinne des Zivilge-
setzbuches und damit eine juristische Person, die vom Geltungsbereich des DSG erfasst wird. Daher muss sie gewährleisten, dass sie ihre Auskunftspflicht erfüllt. Wenn die Auskunft verweigert wird, besteht die Möglichkeit gegen die juristische Person eine Klage zur Durchsetzung des Auskunftsrechts einzureichen (Art. 15 DSG).
5.4. Umsetzung der Anforderungen des DSG bei der Gesetzgebung
Br9TBErsE irrurqr9hrhytrvirqr puEr r rQr rqhrqr Qr yvpuxrv svyriv Eyv (('s ryytr ryvpurB qyhtrtrpuhssrqr htrhr qrDrvrSqpu rvir uhirv qvr9rh rrrq7qrr puhyhqvrrQrqrr vr
Ergänzend haben wir sie auch auf unser in VPB 60.77 publiziertes Gutachten hin- gewiesen (vgl. auch unseren 3. Tätigkeitsbericht 1995/96 S. 64 f.) und ihnen die dort abgedruckte Checkliste beigelegt. Diese findet sich überdies im Anhang zu diesem Bericht (S. 103).
Logarithmus
5.5. Outsourcing als Beispiel eines Konfliktes zwischen Datenschutzrecht und ver- traglichen Bestimmungen
7rvVr rurqr @9W7 hpurvhstrshyyrqhvWr trsqvrv trqrW thirqr9hrpurvpuir Epxvpuvtqr th rtirqtr qr
Auch Privatfirmen müssen gemäss den Vorgaben des Bundesgesetzes über den Datenschutz (DSG) die notwendigen Datensicherheitsmassnahmen umsetzen. In Outsourcing-Verträgen soll z. B. nicht nur festgehalten werden, dass ein Zugriff auf die Daten der ausgegliederten Mitarbeiter für die Outsourcingfirma untersagt ist. Es ist auch Vorschrift, dass man die notwendigen technischen Vorkehrungen trifft, damit z. B. ein Zugriff auf die Daten gar nicht möglich ist. Sollte es aufgrund der Aufgaben- erfüllung notwendig sein, auf die Daten zuzugreifen, so ist z. B. dafür zu sorgen, dass die Daten durch die Mitarbeiter der Outsourcingfirma nicht interpretiert werden können. Auch die Nachvollziehbarkeit der Datenbearbeitung durch die Outsourcing- firma wird für den Auftraggeber von Interesse sein. Er ist es, der gemäss den Vor- schriften des Datenschutzgesetzes für die Datenbearbeitung verantwortlich ist. Ge- mäss Art. 14 DSG darf das Bearbeiten von Personendaten einem Dritten übertragen werden, wenn der Auftraggeber dafür sorgt, dass er die Daten nur so bearbeitet, wie er es selbst tun dürfte und keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. Kann bei einem Produkt durch technische Massnahmen ein Zugreifen auf die Kun- dendaten oder die Interpretierbarkeit der Daten (für Unberechtigte) verunmöglicht werden, so steigt die Qualität des Produkts erheblich. Damit erfüllt man die Forde- rungen des Datenschutzes und stellt den Kunden erst noch ein besseres und zweck- mässigeres Produkt zur Verfügung.
% 9hrpuq9hrvpur urv
6.1. Datensicherheit in der Bundesverwaltung
Dqr Aytrv qirpu vrirvrvqr 7qrr hytqvr9hrvpur urv hhurqvrvpuhqr9hrpuhiyrvrtrrr qrqvry pur7r rvpurhpuvr 9vssr rrirrur
In der Bundesverwaltung geht man heute bei der Datensicherung von drei Schutz- stufen aus. Bei der Schutzstufe 1 sind die Datensicherheitsmassnahmen minimal, bei der Stufe 3 maximal zu gestalten. Aus der Sicht des Datenschutzes sind die Schutzstufen wie folgt festgehalten: Stufe 1: Personenbezogene Daten, deren Missbrauch keine besondere Beein- trächtigung erwarten lässt, sowie Personendaten, welche der Öffentlichkeit frei zu- gänglich sind; z. B. Adressangaben (Name, Vorname, Anschrift, Geburtsdatum), so- fern sie neutral sind und nicht in einem sensiblen Zusammenhang stehen. Stufe 2: Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner ge- sellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchti- gen kann; z. B. Daten über Mietverhältnisse, Daten über Geschäftsbeziehungen. Stufe 3: Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner ge- sellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich be- einträchtigen kann, bzw. die einem besonderen Amtsgeheimnis unterliegen, z. B.
Patientenkarteien, Personaldaten sowie besonders schützenswerte Personendaten oder Persönlichkeitsprofile; bzw. Personenbezogene Daten, deren Missbrauch für den Betroffenen Gefahren für Leib und Leben bedeuten, z. B. Adressen von Zeugen in bestimmten Strafverfahren. Die Stufe 1 wird durch den Grundschutz aus der Sicht des Datenschutzes zum grössten Teil abgedeckt. Es ist die Aufgabe der jeweiligen Organisationseinheit, die Grundschutzmassnahmen selbständig umzusetzen. Bei den Schutzstufen zwei und drei sind die Schutzobjekte durch den Sicherheitsbeauftragten der Departemente oder Ämter bei der Sektion Informatiksicherheit des Bundesamtes für Informatik zur begleiteten Risikobeurteilung anzumelden. Im Handbuch Nr. 1 zur Weisung Informa- tiksicherheit Nr. S02 ist ein Gesamtmassnahmenkatalog aufgeführt, der es erlaubt, aufgrund der jeweiligen Schutzstufen, die notwendigen Massnahmen zu erkennen und umzusetzen. Zusätzlich werden dem Eidg. Datenschutzbeauftragten die Pro- jektanträge der EDV-Projekte zugestellt, die innerhalb der Bundesverwaltung reali- siert werden sollen. Je nach Sensitivität der jeweiligen Projekte, werden diese von Mitarbeitern des Eidg. Datenschutzbeauftragten mehr oder weniger stark in der Pla- nungs-, Entwicklungs- und Betriebsphase begleitet bzw. aus der Sicht des Daten- schutzes analysiert. Die oben aufgeführten Aspekte haben uns im Umfeld des Da- tenschutzes und der Datensicherheit schon ein rechtes Stück weiter gebracht. Aller- dings müssen wir auch immer wieder feststellen, dass es in der Bundesverwaltung kaum möglich ist, auf eine angemessene Umsetzung der Datensicherheit hinzuarbei- ten, wenn man nicht die notwendigen Mittel und/oder ausreichende rechtliche Grund- lagen hat, um die Datensicherheit und damit auch einen Teil des Datenschutzes durchsetzen zu können. Nach wie vor müssen wir in den Planungsphasen von Projekten feststellen, dass insbesondere die Abläufe (Ist/Soll) nicht oder nur ungenügend dokumentiert werden. In der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) wird in Art. 21 festgehalten, dass die Organisation der jeweiligen Bundesorgane dokumentiert wer- den muss. Im Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes wird zusätzlich konkretisiert, dass die Dokumentation der Organisati- on (Aufbau- und Ablauforganisation) um so detaillierter festgehalten werden muss, je sensitiver das jeweilige System aus Sicht des Datenschutzes ist. Bereits im 1. Tätig- keitsbericht von 1993/94 (S. 67) haben wir dies festgehalten. Bei ungenügender Sys- temdokumentation kann man nicht von einem transparenten System sprechen. Denn ein solches System ist weder datenschutzkonform, noch überschaubar und mit gros- ser Wahrscheinlichkeit auch nur durch langjährige Angestellte durchschaubar. Aufgrund der obigen Überlegungen sowie aus der Sicht des Datenschutzes ist die nötige Transparenz zu fordern.
6.2. Schlüsselhinterlegung
Dr usvtr r qr9hrr puyEryqhvrq pu9 vrvpuru vr rvr r qrxrHvqrUF yy thrtrs qr r8uvss vr r i qr qr TpuyEryuvr yrttyhrvpuqvrsE @ vytiru qrhsh purqrQ iyrrwrqpuvpuhipuyvrrqyr
Privatpersonen, Betriebe und die öffentliche Verwaltung streben an, dass ihre Daten vertraulich, integer und verbindlich bearbeitet werden. Deshalb werden immer häufi- ger gute Chiffrierverfahren bei der automatisierten Bearbeitung von Informationen eingesetzt. Ein gewisser Nachteil bei der Chiffrierung besteht heute noch darin, dass
nicht für alle plattformübergreifenden EDV-Systeme Verschlüsselungsverfahren ein- gesetzt werden können und dass dazu zusätzliche Ressourcen (Kosten, Rechner- leistung) benötigt werden. Bedenkt man allerdings, wie hoch normalerweise die Wertschöpfung aus den bearbeiteten (sensitiven) Daten ist, so sind die zusätzlichen Aufwendungen der Organisationseinheiten für die Datensicherung eine lohnende Investition. Aus Sicht von Ermittlungsbehörden wird z. T. argumentiert, dass die Daten- chiffrierung ein Hindernis bei den Ermittlungen darstelle, weil die Informationen, wel- che von den Behörden allenfalls abgehört bzw. aufgezeichnet werden dürfen, von diesen nicht mehr oder nur mit sehr hohem Aufwand interpretiert werden können. Ein möglicher Lösungsansatz wäre die Schlüsselhinterlegung bei Kontrollorganen, so dass man die übertragenen Daten bei der Abhörung interpretieren könnte. Einer- seits wird argumentiert, dass ein solches Vorgehen die Verbrechensbekämpfung verbessert. Andererseits wird dadurch das Grundrecht auf informationelle Selbstbe- stimmung jedes einzelnen beeinträchtigt. Wir bezweifeln, ob der Zugang zu ver- schlüsselten Daten die Effizienz der Verbrechensbekämpfung verbessern wird. Be- stehen Dechiffrierungsmöglichkeiten für Kontrollinstanzen, so muss man davon aus- gehen, dass kriminelle Organisationen ihre Informationen nicht mehr über diese un- sicheren Kanäle bekanntgeben oder wie heute Begriffe verwenden, die für sie eine andere, als die herkömmliche Bedeutung haben. Dies würde solche Organisationen zwingen, neben den bereits bekannten Möglichkeiten andere Verfahren oder Sach- mittel einzusetzen, um die Informationen schnell und sicher auszutauschen. Solche Möglichkeiten bestehen schon heute, indem man z. B. Bits von einem Bitmap (grafi- scher Aufbau eines Dokuments am Bildschirm) oder einer Audiodatei durch Informa- tionen in Textform ersetzt, welche die Darstellung am Bildschirm nicht oder nur in dem Umfang verändert, dass diese Abweichungen für Dritte nicht erkennbar sind. Diese Technik wird als Steganographie bezeichnet. Das Wort stammt aus dem Grie- chischen und bedeutet nichts anderes als verstecktes Zeichnen oder Schreiben. Ei- ne andere Möglichkeit der Dateneinsichtnahme für Ermittlungsbehörden würde darin bestehen, dass die Informationen durch diese bei der speichernden bzw. em- pfangenden Stelle eingesehen werden. Die Schlüsselverwaltung sollte dann aller- dings so gestaltet werden, dass die Prozedur der Datenentschlüsselung transparent gestaltet wird. Unseres Erachtens ist es äusserst zweifelhaft, ob ein Chiffrierverbot oder die Schlüssel-hinterlegung bei Kontrollinstanzen die notwendige Effektivität bei der Verbrechensbekämpfung gewährleisten würde.
Verschlüsselungsbild
6.3. Online-Registrierung von Software
67rvvryrvrTsh r qxruhirv qvrvqr PyvrSrtv vr tr iqrr9hrirh irvtr vrsr puqvqTpuytrxr qhqvrqhsE vtr@vvyyvttq puqrFqrtrEtrqv
Eine Anzahl Softwareprodukte bietet die Möglichkeit der Online-Registrierung anstel- le der Registrierung auf dem Postweg. Wir wurden von Dritten darauf aufmerksam gemacht, dass bei der Online-Registrierung ohne bzw. ohne genügende Kenntnis- nahme Daten vom PC des Kunden zur Herstellerfirma übertragen würden. Neben der Seriennummer des Produktes, Name und Adresse des Kunden können auch automatisch ermittelte Angaben über die Hardware- und Softwareausstattung des Rechners übertragen werden. Letztere Daten sind für die Registrierung der Software nicht notwendig; sie dienen dem Hersteller dazu, das Marketing gezielter auf die Kunden auszurichten. Für teilweise geäusserte Vermutungen, es würden im Zusammenhang mit der Onli- ne-Registrierung weitere Daten vom Rechner des Kunden erfasst als angegeben, haben wir keinerlei Anhaltspunkte. Dies ist jedoch nicht völlig auszuschliessen. Die Einwilligung des Kunden setzt voraus, dass er in einer s& vur .qyvpur6 qXrvrdarüber informiert wird, welche Daten zu welchen Zwecken auf welche Weise bearbeitet werden. Beim untersuchten Produkt stellten wir eine ungenügende Einwilligung fest. Bereits qr r rHhxr 9hrrvthir sind insbesondere folgende Informationen unübersehbar zu erteilen: Zweck der Datenbearbeitung; Da- ten, die erfasst bzw. von der Übermittlung ausgeschlossen werden können; Ort der Speicherung und Weiterleitung ins Ausland; Information über das Auskunftsrecht. Die Herstellerfirma hat sich bereit erklärt, unseren Forderungen bezüglich ver- besserter Kenntnisnahme in naher Zukunft zu entsprechen.
& Wr puvrqrr
7.1. Handel mit Daten aus dem Handelsregister
9hrhqrChqry rtvr vqt qyvpussryvpurQr rqhrqvr vpuiryvrivt vhrarpxrr rqrr qrqE sr9 puqvrryrx vpur 9hrr h irvtr qrvr FE rr puvrqrrDs hvrvrvhqr r xEsih qvrvpuvqr Etyvpur@ uritrpxEir rvvr
Eine private Person wollte die Handelsregisterdaten des Schweizerischen Han- delsamtsblatt «einscannen» und auf Anfrage Informationen bekanntgeben. Durch die private Bearbeitung von Personendaten aus dem Handelsregister würden soge- nannte öffentliche Daten aus dem spezifischen Sachzusammenhang des öffentli- chen Registers genommen und entsprechend aufbereitet. Dabei könnten Kunden- wünsche berücksichtigt werden, womit aus ursprünglich relativ einfachen Handelsre- gisterdaten aufschlussreichere Informationen gewonnen werden könnten. Dank den vielfältigen und sehr weitgehenden Such- und Selektionsmöglichkeiten der elektroni- schen Datenbearbeitung wären somit Zusatzangaben möglich, welche aus dem öf- fentlichen Register indes nicht ohne weiteres ersichtlich sind. Dadurch steigt das Ri- siko einer Persönlichkeitsverletzung der Betroffenen erheblich. Ob Zusammenstellungen von Personendaten (z.B. neu gegründete Firmen, Fir- meninhaber oder Statutenänderungen) durch Private zulässig sind, ist vom Zweck
des Handelsregisters abhängig. Die Tatsache, dass das Register öffentlichen Cha- rakter hat, bedeutet nicht, dass die Daten unbeschränkt zu privaten Zwecken ver- wendet werden dürfen. Das Zweckbindungsgebot ist auch auf öffentlich zugängliche Daten anwendbar. Diese dürfen deshalb nicht zu Zwecken, die unvereinbar sind mit denjenigen, für die sie erhoben wurden, an Dritte übermittelt werden. (Grundsatz 2.2 der Empfehlung Nr. R (91)10 des Ministerkomitees des Europarates an die Mitglied- staaten für die Übermittlung der von öffentlichen Stellen gespeicherten personenbe- zogenen Daten an Dritte). Bei der Bearbeitung von Personendaten darf die Persön- lichkeit der betroffenen Personen nicht widerrechtlich verletzt werden. Falls beim Aufbereiten von Handelsregisterdaten der Grundsatz des Zweckbindungsgebotes verletzt wird, müsste ein Rechtfertigungsgrund vorliegen, damit sie nicht widerrecht- lich ist. Betroffene Personen müssen die Möglichkeit haben, ihr Auskunftsrecht gemäss Art. 8 DSG beim Inhaber der Datensammlung geltend zu machen. Wenn eine betroffene Person die Löschung ihrer Daten verlangt, muss sie ihr gewährt werden.
Ferner besteht beim Eidgenössischen Amt für das Handelsregister ein Projekt, wel- ches die Handelsregisterdaten langfristig dem Publikum auch mittels elektronischer Datenbank zur Verfügung stellen will. Kriterien für das Abrufen werden vom Amt für das Handelsregister ausgearbeitet werden.
7.2. Anforderungen an die Briefcouverts im Postversand (Honorarrechnungen, Zahlungsverkehr)
Xr 7 vrsrr puvpxqhsE trqhqr Duhyr hyvpuiyrvi9vrRhyv qr 7 vrspuytrvrqhA hqrArr Erhtrhyrrv qhqr Duhyvpuq puqhArr qr qrVpuyhttryrrr qrxh
Eine private Person hatte von einer mit dem Inkasso beauftragten Stelle eine Kopie einer Honorarrechnung in einem Briefumschlag mit Fenster erhalten. Obwohl das Couvert verschlossen war, konnten diverse Angaben der Rechnung aufgrund der Grösse des Fensters gelesen werden. Insbesondere war ersichtlich wie lange ein Patient beim betreffenden Arzt in Behandlung war, ob eine Überweisung oder Stell- vertretung erfolgte, ob Arbeitsunfähigkeit vorlag und die Behandlung weiter geführt oder abgeschlossen wurde. Bei diesen Angaben handelt es sich um Personendaten und teilweise um Gesundheitsdaten welche gemäss dem Datenschutzgesetz als be- sonders schützenstwert gelten. Wer Personendaten bearbeitet, muss zudem für die Vertraulichkeit der Daten sorgen und bei der Bekanntgabe sowie beim Transport von Datenträgern verhindern, dass die Daten unbefugt gelesen werden. Damit die Vertraulichkeit der Patientendaten im Zahlungsverkehr gewährleistet werden kann, sind beim Versenden von Honorar- rechnungen Couverts ohne Fenster zu verwenden, die keine Informationen über das Behandlungsverhältnis der Patienten offenbaren und das Arztgeheimnis entspre- chend sicherstellen. Die betreffende Inkasso Stelle hat nun angeordnet, Kopien von Honorarrechnungen müssten ausschliesslich in geschlossenen Couverts mit angeschriebener Adresse verschickt werden. In einen anderen Fall beschwerte sich eine private Person über die mangelhafte Qualität der Briefumschläge von Banken. Unbefugte Dritte konnten aufgrund der durchsichtigen Couverts erkennen, was in ihren Gutschrifts- oder Bela-
stungsanzeigen stand. Nachdem die betroffenen Banken darauf aufmerksam ge- macht wurden, werden Couverts verwendet die keine Informationen über den Zah- lungsverkehr ihrer Kunden offenbaren und zudem das Bankgeheimnis entsprechend sicherstellen.
DW DIU@SI6UDPI6G@T
7rv v @ h hxrvEir qr9hrpu
Am 13. November 1996 hat der Bundesrat eine Botschaft an das Parlament be- treffend den Beitritt der Schweiz zur Konvention des Europarates zum Schutze des Menschen bei der automatischen Verarbeitung personenbezogener Daten verab- schiedet (siehe BBl 1997 I 717; siehe auch 3. Tätigkeitsbericht, S. 85). Die Konventi- on war am 1. Oktober 1985 in Kraft getreten und ist bis heute von 17 Mitgliedstaaten des Europarates ratifiziert worden. Der schweizerische Beitritt könnte im Jahr 1997, nach der Annahme des diesbezüglichen Bundesbeschlusses durch das Parlament, erfolgen. In diesem Fall würde die Konvention Anfang 1998 in Kraft treten.
! @ h h
Die Projektgruppe für Datenschutz ist - zuerst unter schweizerischem, anschliessend unter maltesischem Vorsitz - zweimal zusammengetreten und hat ihre Arbeiten im Zusammenhang mit der Verabschiedung der Empfehlung zum Schutz medizinischer Daten abgeschlossen. Das Ministerkomitee hat die Empfehlung an seiner 584. Sit- zung vom 13. Februar 1997 verabschiedet. Die Empfehlung ist auf die Erhebung und automatisierte Bearbeitung medizinischer, einschliesslich genetischer Daten für jegli- che Benutzung im öffentlichen und privaten Sektor anwendbar. Die Anforderungen an die Vertraulichkeit wurden durch die folgende Auflage verstärkt: Jede Bearbeitung medizinischer Daten muss grundsätzlich entweder von Berufsleuten aus dem Ge- sundheitsbereich oder von Personen und Organisationen, die im Auftrag dieser Be- rufsleute handeln, vorgenommen werden - soweit diese den identischen oder ver- gleichbaren Regeln der Vertraulichkeit unterstehen. Die Empfehlung regelt insbe- sondere die Voraussetzungen für die Rechtmässigkeit der Erhebung und Bearbei- tung von Daten (einschliesslich der Beachtung der Grundsätze Zweckmässigkeit und Verhältnismässigkeit) und schränkt die Fälle der möglichen Bekanntgabe medizini- scher Daten ein. Ferner gewährleistet sie die Rechte der betroffenen Person, insbe- sondere das Recht auf Information sowie das Auskunftsrecht. Die Empfehlung regelt die Aufbewahrung und Verwendung medizinischer Daten zum Zwecke der wissen- schaftlichen Forschung und sieht die Verpflichtung vor, gegen jede unbefugte Bear- beitungsform die geeigneten technischen und organisatorischen Massnahmen zu ergreifen. Im Bereich der genetischen Daten orientiert sich die Empfehlung an die «Bioethik-Konvention», die den Schutz der Menschenrechte und der menschlichen Würde im Bereich der Biologie und der Medizin zum Inhalt hat. Abgesehen von Zwe- cken der Prävention, Diagnose, Therapie und wissenschaftlichen Forschung sowie von den Bedürfnissen eines Gerichtsverfahrens oder einer strafrechtlichen Untersu- chung, die gesetzlich verankert und mit angemessenen Garantien verbunden ist, ist
die Bearbeitung genetischer Daten einzig aus gesundheitlichen Gründen zulässig. Dies schliesst insbesondere die Erhebung und Bearbeitung genetischer Daten zu rein prognostischen, nicht gesundheitlichen Zwecken aus. (Ausnahme: übergeordne- te Interessen). Daneben stehen die Arbeiten der Projektgruppe für Datenschutz für die Verab- schiedung einer Empfehlung über den Schutz von Personendaten, die zu statisti- schen Zwecken erhoben und bearbeitet werden, kurz vor dem Abschluss. Der Text- entwurf verstärkt den Schutz und die Vertraulichkeit der zu statistischen Zwecken erhobenen und bearbeiteten Daten und anerkennt gleichzeitig die Bedürfnisse der Statistiker nach einem relativ leichten Rückgriff auf Erhebung und Bearbeitung von Personendaten. Das Dokument ist das Ergebnis einer offenen und konstruktiven Zu- sammenarbeit zwischen Datenschutzexperten und Statistikern, besonders zwischen dem EDSB und dem Bundesamt für Statistik. Die Empfehlung dürfte noch in diesem Jahr vom Ministerkomitee verabschiedet werden; sie regelt die Erhebung und Bear- beitung von Daten zu statistischen Zwecken und schreibt vor allem strikte Anforde- rungen an die Grundsätze der Vertraulichkeit, Verhältnismässigkeit und Zweckmäs- sigkeit fest. Zu statistischen Zwecken erhobene und bearbeitete Daten dürfen aus- schliesslich für diese Zwecke benutzt werden. Sie dürfen nicht dazu dienen, eine Entscheidung oder Massnahme in bezug auf die betroffene Person zu treffen. Zu- dem misst die Empfehlung der Transparenz in der Bearbeitung sowie der Informati- on der betroffenen Personen ein grosses Gewicht bei. Im übrigen hat die Projektgruppe die Prüfung eines Empfehlungsentwurfs im Versi- cherungswesen aufgenommen. Der Entwurf stammt von der Arbeitsgruppe 14, an der wir uns ebenfalls beteiligt haben. Schliesslich hat die Arbeitsgruppe 15 über die neuen Informationstechnologien ihre Arbeiten fortgesetzt. Sie soll sich in erster Linie mit den folgenden Aspekten befas- sen: Datenautobahnen, Chip-Karten, elektronische Überwachung (vor allem Video- überwachung) und Umgang mit Informationsressourcen. Der durch die Konvention 108 ins Leben gerufene beratende Ausschuss, der vor allem die Aufgabe hat, Stellungnahmen zur Anwendung der besagten Konvention abzugeben, hielt seine 12. Sitzung ab. Dabei setzte er sich vor dem Hintergrund der aktuellen technologischen Entwicklung insbesondere mit der Relevanz der Definitio- nen und Grundsätze der Konvention auseinander.
" Dr hvhyrFsr rqr 7rhs htrsE qr9hrpu
Die XVIII. Internationale Konferenz der Datenschutzbeauftragten fand vom 18. bis am 20. September 1996 auf Einladung des kanadischen Datenschutzbeauftragten in Ottawa, Kanada, statt. An dieser Konferenz trafen die Datenschutzbeauftragten von 23 Staaten mit Regierungsexperten und Vertretern der Europäischen Union, der In- formationsindustrie, Wirtschaft, Wissenschaft und des Dienstleistungssektors zu- sammen. Die Schweiz war durch den Eidgenössischen Datenschutzbeauftragten und den Datenschutzbeauftragten des Kantons Zürich vertreten. Die Konferenz bot Gelegenheit für einen Informationsaustausch über die jüngsten Entwicklungen im Datenschutz, vor allem über Probleme im Zusammenhang mit der EU-Richtlinie, die den Austausch von personenbezogenen Informationen zwischen den Ländern der Europäischen Union und Drittstaaten zum Inhalt hat. Unter dem Motto «grenzüber- schreitender Persönlichkeitsschutz» befassten sich die Konferenzteilnehmer mit den Folgen des sich ausweitenden internationalen Informations- und Datenverkehrs. Auch in diesen Bereichen gilt es, den Schutz der Persönlichkeit und der Grundrechte
von Personen, über die Daten bearbeitet werden, zu garantieren. Der unaufhaltsame Einzug elektronischer Dienste und Informationsnetze (Datenautobahnen) in öffentli- che Verwaltungen, private Unternehmen und Privathaushalte machen die Daten- schutz-Prinzipien wichtiger denn je. Angesichts der Entwicklung hin zum «global vil- lage» müssen die Information der Bürger bzw. Verbraucher verstärkt, daten- schutzrechtliche Verhaltenskodizes entwickelt und neue rechtliche wie technische Lösungen gefunden werden. Solche Instrumente sollten vor allem erarbeitet werden, um das Datenschutzdefizit beim Informationsaustausch zwischen Staaten mit Da- tenschutzgesetzen und solchen ohne angemessenen Schutz (z.B. die USA) aus- zugleichen. Ohne echtes Problembewusstsein auf allen Ebenen könnte die gegen- wärtige Entwicklung das Ende der Privatsphäre bedeuten. Dies wurde an der Konfe- renz mit zahlreichen Beispielen veranschaulicht: Verwendung von Kreditkarten, Schaffung von Mega-Datenbanken dank Zugriff auf das Internet, grenzüberschrei- tende Informationsflüsse zwischen Europa und den Vereinigten Staaten, Reservie- rungssysteme wie Galileo oder Amadeus, Multimedia wie interaktives Fernsehen oder E-Mail (Problem der Anonymität und der Vertraulichkeit). Ferner wurden die Themen Personenidentifizierung (z.B. bei der Verwendung von Kreditkarten), Bear- beitung von Gesundheitsdaten, Expansion der Gesundheitskarten, genetische Daten und Überwachung von Drogenabhängigen angesprochen. Schliesslich wurde die Notwendigkeit betont, die Bearbeitung von Personendaten einzuschränken und die Massnahmen hinsichtlich Ethik und Vertraulichkeit medizinischer Daten zu verstär- ken.
Ziel der oben erwähnten Gruppe ist es, den Datenschutz im Bereich der Tele- kommunikation und der Medien zu verbessern. Die 20. Sitzung der Arbeitsgruppe fand am 18. und 19. November 1996 unter dem Vorsitz des Berliner Datenschutzbe- auftragten in Berlin statt. Das bereits in früheren Tagungen diskutierte Memorandum zum Datenschutz und der Privatsphäre im Internet wurde bereinigt und verabschiedet. Der Text ist auf Sei- te 93 dieses Berichtes zu finden. Weiter wurden unter anderem folgende Themen in Referaten behandelt und diskutiert: Systeme zur Bewertung und Ausfilterung be- stimmter Internetangebote, Zugriff auf medizinische Daten via Internet, die Frage der Verschlüsselung, Electronic Cash, internationale Transport und Reservationssyste- me sowie die künftige Kooperation der Arbeitsgruppe mit anderen Gremien. Im Bereich der Telekommunikation sind nur grenzüberschreitende Lösungen sinn- voll. Die internationale Zusammenarbeit der Datenschutzstellen ist daher besonders wichtig.
$ 7vyhr hyrqyvyhr hyr6ixrEir qvrSEpxEir hurq 9 puirs qr trurhyvtrF vrtsyEpuyvtr
Hvqr r ussrSEpxxru I hyvryyvpuhpuqvrA htrqr SEpxq 9 pusEu tEir s rqrUr v vqr rurhyvtrF vrtsyEpuyvtrvvu rCrv hDqrr rpurqr6ixrqr Tpurvqhqr r ThhrvF h vrqvEtyhvrv qhpuqr 9hrputr rtry@ryyvpuqvrA htr iqvrr7rvtrqrrurhyvtrF vrth rvr vpuvttrrr qrqiqvrVrtx yyvr v q
PC-Einbrecher
Betreffend Kroatien wurden uns gleich drei Abkommen zur Stellungnahme unterbrei- tet, nämlich ein (bilaterales) Abkommen über die S&pxs&u t sowie ein bilaterales und ein multilaterales Abkommen über die 9 pus&u t von Personen durch Kroa- tien. Das Rückführungsabkommen stellt eine Ergänzung (Protokoll) zu einem Ab- kommen vom 8./9. Februar 1993 (SR 0.142.112.912) dar und regelt den Daten- schutz nicht bzw. ungenügend. Wir haben eine Nachbesserung gemäss dem schweizerischen und europäischen Standard verlangt, welche uns auf einen späte- ren Termin, spätestens aber bis in zwei Jahren zugesichert wurde. Die beiden Durchbeförderungsabkommen regeln den Datenschutz gemäss schweizerischem und europäischem Standard. Mit Blick auf die konkreten Verhältnisse haben wir die Frage aufgeworfen, ob diese Datenschutzbestimmungen auch wirklich umgesetzt werden und ob (etwa im Rahmen der Umsetzung des sog. Dayton-Abkommens) ge- wisse minimale Kontrollmechanismen vorgesehen sind. Hier besteht bis zu einer vollständigen Normalisierung der Verhältnisse Handlungsbedarf. Unseres Erachtens müssen die auf den vorzuweisenden Sichtvermerken aufgeführten Personendaten beschränkt werden (z.B. strikte Entfernung von Angaben, welche auf die Ethnie hin- weisen etc.). Als ermutigend darf der Umstand bezeichnet werden, dass sich Kroatien nun eben- falls ein Datenschutzgesetz gegeben hat. Über kein Datenschutzgesetz verfügt der- zeit indessen die Bundesrepublik Jugoslawien. Auch wenn das uns ebenfalls zur Stellungnahme unterbreitete Rückführungs- und Rückübernahmeabkommen dem schweizerischen und europäischen Standard entspricht, stellen sich daher in ver- stärktem Mass die Fragen nach der Umsetzung des vereinbarten Datenschutz- Standards und nach der Kontrolle.
% 9vr6shurrvr 9hrpuxyhryvqhWvr rvvtr7ir rv xr68C9AGv7r rvpuqr TvhyrTvpur urv
9rpuyhqryyrqr6 htrrvr9hrpuxyhryvqharvrahhi xrWvr rvvtr7ir rvxrv7r rvpuqr TvhyrTvpur urvhs rurXv irt ErqvrrW puyhtr vpuqpuqrrDuhyvrryv purqr9TBvrqrvr hvhytEyvtrqhrpu rpuyvpurHvqr hqh q
Im Dezember 1996 fanden in Bern Besprechungen zwischen Vertretern Deutsch- lands, Liechtensteins, Österreichs und der Schweiz betreffend die Aufnahme einer Datenschutzklausel in das erwähnte Übereinkommen statt. Im Rahmen dieser Be- sprechungen wurden wir von der schweizerischen Delegation (Bundesamt für Sozi- alversicherung) eingeladen, dazu Stellung zu nehmen. Wir bewerteten die von Deutschland vorgeschlagene Datenschutzklausel positiv. Dies vor allem deshalb, damit die in der Klausel aufgeführten datenschutzrechtlichen Grundsätze (Zweckbindungsgebot, Verhältnismässigkeit, Auskunftsrecht etc.) für die Behörden sowie für die betroffenen Personen transparent gemacht werden. Einer- seits soll die Klausel den Behörden als Leitlinie dienen und andererseits sollen die Bürger, die unter das Übereinkommen fallen, über die Bearbeitung ihrer Daten hin- reichend informiert werden. Zudem enthält die Datenschutzklausel im wesentlichen die international gültigen da- tenschutzrechtlichen Mindeststandards und bedeutet auch für die Schweiz nichts Neues bzw. ist mit dem Inhalt des schweizerischen Datenschutzgesetzes praktisch identisch. Sie stellt also für die schweizer Behörden hinsichtlich der Datenbearbei-
tung grundsätzlich keine materiellen Änderungen dar, zumal sie nur dann zur An- wendung kommt, wenn das innerstaatliche Recht keine Regelung vorsieht (subsidiä- rer Charakter der Klausel). Die Delegationen Liechtensteins, Österreichs und der Schweiz sind zur Zeit daran, den deutschen Vorschlag nochmals zu überprüfen. Wann und inwiefern die Daten- schutzklausel in das Übereinkommen aufgenommen wird, ist noch offen.
W S@BDTU@S9@S96U@IT6HHGVIB@I96U6S@B
Wr hytrqrSrtvr qr 9hrhytr
IhpuqrqhWr hytrqrSrtvr qr 9hrhytrtrvEhu rv7r vrivxrhuhqqr hstrrrSrtvr rv tr6htr 6 ttrq@vtrpuhsrqr @v trtrhpur qr
Während 1994 im Zeichen der offiziellen Inbetriebnahme von DATAREG stand, wur- den im 1995 Optimierungen am System vorgenommen. Im Jahre 1996 schliesslich lief das System mit voller Verfügbarkeit. Um auch dieses Jahr einen Eindruck über die Eigenschaften und Ausprägungen der registrierten Datensammlungen geben zu können, wurden hier einige Zahlen zu DATAREG zusammengestellt. Die nachfolgenden Ausführungen und Kennzahlen beziehen sich auf den Stand Januar 1997 des Registers. Es sind insgesamt 1480 Datensammlungen registriert. 33 Einträge zu Daten- sammlungen wurden bereits auf Antrag der anmeldenden Stelle gelöscht. 1143 Ein- träge sind von Bundesorganen, 337 von Privaten. Von den 1480 Registereinträgen sollen bis auf 38 alle publiziert werden. Als Kategorien der bearbeiteten Personendaten sind bis jetzt 1209 Kategorien für die verschiedenen Registereinträge als bearbeitete Personendaten aufgenommen. Die- se Kategorien werden von den Einträgen 9128 mal verwendet. Es werden also pro Datensammlung durchschnittlich 6 Kategorien von Personendaten gemeldet. Die Hitliste der Kategorien von bearbeiteten Personendaten wird angeführt von Adresse, Beruf, Identität, Nationalität/Heimatort, Arbeitsort, Sprachen vor AHV-Nummer, Aus- bildung, Familie, Gesundheit und Einkommen. Als Kategorien der Datenempfänger und der an der Datensammlung Beteiligten sind 862 aufgenommen, welche 2616 mal als Empfänger sowie 636 mal als Beteiligte aufgeführt werden. Bei den Einträgen für Bundesorgane werden bis jetzt 504 verschiedene Rechts- grundlagen genannt. Diese werden 1330 mal verwendet. Bisher wurden 1227 Adressen der anmeldenden Stellen in das System aufge- nommen. Für die Einträge von Privaten wurden bis jetzt 55 Branchenkategorien ver- geben.
! QiyvxhvqrSrtvr qr 9hrhytr
((% qrqhSrtvr qr 9hrhytrr hyrvqrDx hs rrqr 9hrputrrrr ssryvpu9vrr sytrvrvr7hqsE 9hrhy trQ vhr rhstrrvyv""7 hpur9vrQiyvxhvsE 7qr thr qrvq rv7qrhstrrvy9vrSrtvr vqirvqr @vqtrvpur9 pxh purqHhr vhyr hyrr uyyvpu
1996 wurde das Register der Datensammlungen zum ersten Mal veröffentlicht. Das Register wurde mit Stand März 96 publiziert und anlässlich der Pressekonferenz des EDSB vorgestellt. Als Vorarbeit zur Veröffentlichung galt es, die Form, den Inhalt und die Aufteilung des Registers festzulegen. Schon bald war man sich einig, dass es eine getrennte Publikation für Bundesorgane und Privatpersonen geben soll. Der Inhalt des Registers umfasst für Bundesorgane: die Bezeichnung und Regi- sternummer der Datensammlung, den Kreis der betroffenen Personen, die unge- fähre Anzahl der betroffenen Personen, den Zweck der Datensammlung, die Rechtsgrundlage, den Inhaber der Datensammlung, die Auskunftserteilung, die Ka- tegorien der bearbeiteten Personendaten, die Kategorien der Datenempfänger und die Kategorien der Beteiligten. Der Inhalt des Registers umfasst für Privatpersonen: die Bezeichnung und Regi- sternummer der Datensammlung, den Zweck der Datensammlung, den Inhaber der Datensammlung, die Auskunftserteilung, die Kategorien der bearbeiteten Personen- daten, die Kategorien der Datenempfänger und die Kategorien der Beteiligten. Ein Band umfasst alle Einträge von Privatpersonen (Band B1). Dieses Register be- inhaltet 337 Einträge zu Datensammlungen auf 33 Branchen verteilt. Die Branchen sind alphabetisch geordnet, und innerhalb der Branchen sind die Einträge nach den Inhabern der Datensammlungen ebenfalls alphabetisch gegliedert. Für die Bundesorgane wurden bisher drei Bände veröffentlicht. Der Band A1 enthält die Angaben zu den Datensammlungen des Eidgenössischen Departements des Innern, A2 zu den Datensammlungen des Eidgenössischen Finanzdepartements und der Schweizerischen Nationalbank, A3 zu den Datensammlungen der Sozialversi- cherungen. Diese Register beinhalten rund 600 ordentliche Einträge und rund 150 vereinfachte Einträge. Die Einträge sind nach Departementen und innerhalb der Departemente nach ordentlichen und vereinfachten Anmeldungen sowie nach Ämtern gegliedert. Gleichzeitig mit der Veröffentlichung des vorliegenden Berichtes sind die Bände A4 und A5 erschienen welche Datensammlungen von Bundesbehörden beinhalten (Stand 28. Februar 1997). Band A4 beinhaltet Datensammlungen der Bundeskanzlei, der Bundesversammlung, des Eidg. Departementes für auswärtige Angelegenheiten und des Eidg. Justiz- und Polizeidepartementes (ausgenommen Bundesamt für Polizeiwesen). Band A5 beinhaltet Datensammlungen des Eidg. Volkswirtschaftsdepartements, des Eidg. Verkehrs- und Energiedepartements (ausgenommen PTT und Bundesamt für Kommunikation), des Bundesamtes für Informatik, des Bundesgerichtes und des Eidg. Versicherungsgerichts.
WD 9@S@D9B@IJTTDT8C@96U@IT8CVUa7@6VAUS6BU@
6htqrTrx rh vh
Dieses Berichtsjahr war für uns ein aussergewöhnliches Jahr. Der rapide Zuwachs der elektronischen Datenbearbeitungen in privaten und öffentlichen Stellen ein- schliesslich deren Vernetzung machte neue Überlegungen darüber erforderlich, wie unsere Aufgabe in der Zukunft sichergestellt werden kann. Zudem wurden unserem Sekretariat neue Räumlichkeiten ausserhalb der Stadt Bern zugewiesen. Angesichts unserer Aufgaben, welche eine erhöhte Mobilität der Sekretariatsmitarbeiter erfor- dern (Beratungs- und Kontrollfunktion), hat die Auslagerung nach Zollikofen einen erheblichen Verlust an Arbeitszeit und damit an Arbeitsqualität verursacht. Somit wurde unsere Aufgabenerfüllung zusätzlich erschwert. Viele Gesellschaften oder Privatpersonen, die bei uns um eine Besprechung baten, haben sich anschliessend über die Abgelegenheit der Örtlichkeiten und der schlechten Verbindungen der öf- fentlichen Verkehrsmittel beschwert. Drei Mitarbeiter haben im Laufe des Geschäftjahres das Sekretariat verlassen und wurden durch neue Mitarbeiter ersetzt. Zudem wurde eine weitere Stelle für die Be- wältigung der Aufgaben des Sekretariats insbesondere für den Bereich der Sozial- versicherungen bewilligt.
! 6sthirrvpxyt
Die Zahl der Anfragen sind in diesem Berichtsjahr erheblich angestiegen. Bei den Rechtsfragen stehen weiterhin die Bereiche Polizei-, Ausländer-, Vesicherungs-, und Gesundheitswesen im Vordergrund. Die Bundesverwaltung stellte vermehrt Anfragen über die Vernetzung von Datenbearbeitungssystemen und über die Weitergabe von Personendaten an Drittstellen. Privatpersonen haben insgesamt mehr von der Mög- lichkeit Gebrauch gemacht, sich beraten zu lassen. Anfragen über die Geltendma- chung des Auskunftsrechts, die Möglichkeiten der Berichtigung und Löschung der Daten bei privat geführten Datensammlungen bildeten die Schwerpunkte.
" Ds hvqr Jssryvpuxrv
Vordergründig versuchten wir, den Bürger mit den datenschutzrechtlichen Be- stimmungen vertraut zu machen. So haben wir an verschiedenen Informations- veranstaltungen und Konferenzen teilgenommen und unsere Broschüren versendet. Letztere haben eine breite Resonanz in der Bevölkerung gefunden. Aus Spargrün- den verfügen wir nicht über grössere Auflagen. Da wir nicht über ein eigenes Budget verfügen, sind wir nicht in der Lage, genügend Broschüren nachdrucken zu lassen. Deshalb waren wir oft gezwungen, nur Kopien der Broschüren zu versenden. In der Zwischenzeit ist auch die Broschüre über die Bearbeitung von Personendaten im medizinischen Bereich erschienen. Zudem sind wir mit einem eigenen Angebot im INTERNET präsent, welches ermög- licht, Informationen über den Datenschutz auch über das Netz abzurufen.
Eine Auswahl der verschiedenen telefonischen Anfragen, die bei uns eingegangen sind, finden sie in den nachfolgenden Tabellen (vgl. S. 82ff) grafisch dargestellt.
9r @9T7vDr r
Das Internet gibt aus Sicht des Datenschutzes zu manchen kritischen Stellungnah- men Anlass (Siehe Budapest-Berlin Memorandum, Seite 93). Für die aktuelle und günstige Verbreitung unserer Veröffentlichungen ist das Internet jedoch ein ausge- zeichnetes Medium.
Um unsere Informationen dem interessierten Publikum rasch und effizient zugänglich zu machen, haben wir uns entschlossen, das Internet als zusätzliches Informations- medium zu nutzen. Die meisten unserer Publikationen (Leitfäden, Berichte, Empfeh- lungen, Pressemitteilungen etc.), auch das Datenschutzgesetz mit seinen Verord- nungen sowie internationale Datenschutzbestimmungen sind abrufbar. Zusätzlich bieten wir Links auf andere Internetseiten an, die sich mit Datenschutz und Datensi- cherheit befassen. Es besteht eine Suchmöglichkeit nach Stichworten über alle von uns bereitgestellten Dokumente.
Nachdem die beiden ersten schweizerischen Datenschutzkonferenzen 1993 und 1995 durch den Eidg. Datenschutzbeauftragten organisiert wurden, fungierte 1996 mit dem Datenschutzbeauftragten des Kantons Zürich erstmals ein Kanton als Gast- geber der Konferenz. Unter anderen wurden folgende Themen behandelt: Verwendung der Volks- zählungsdaten für Verwaltungszwecke, Datenschutz bei erkennungsdienstlichen Un- terlagen der Polizei sowie bei der Archivierung. Schliesslich verabschiedete die von zahlreichen kantonalen Vertretern besuchte Konferenz eine Resolution, in der alle Akteure des Gesundheitswesens aufgefordert werden, dem Persönlichkeitsschutz vermehrt Rechnung zu tragen. Am 3. Oktober 1996 veranstaltete der Zürcher Datenschutzbeauftragte zusammen mit der ETH Zürich überdies ein vielbeachtetes Tvs& 9hrpuq9h rvpur urv zum Thema «Vernetzte Informationstechnologie kontra Persönlich- keitsschutz ?»
internet bild
$ ThvvxEir qvrUvtxrvqr@9T7
Anzahl der Stellungnahmen
Anzahl der Stellungnahmen
Telefonauskunft
Telefonauskunft nach Anfragenden
Telefonauskunft nach Sachgebieten
% 9hTrx rh vhqr@vqtrvpur9hrpuirhs htr
@vqtrvpur 9hrpuirhs htr )Br Pqvy9 v
Stellvertreter: Walter Jean-Philippe, Dr. iur.
Trx rh vh)
Leiter: Walter Jean-Philippe, Dr. iur.
Stellvertreterin: Grand Carmen, lic. iur.
Delegierter für Information und Presse Tsiraktsopulos Kosmas, lic. iur.
Rechtsdienst: 9 Personen
Informatikdienst: 4 Personen
Kanzlei: 4 Personen
WDD 6IC6IB
Hr xiyh)Tr tqr Wr rqtqr 6q rrXr irrpxr
Tr t qr Wr rqtqr 6q rr Xr irrpxr
Nach dem Bundesgesetz über den Datenschutz ist die Verwendung der Adresse zu Werbezwecken grundsätzlich zulässig, wenn die betroffene Person :
ihre Adresse der Öffentlichkeit zugänglich gemacht hat, und
die Verwendung für Werbezwecke nicht untersagt hat.
Jssryvputtyvpu ist die Adresse zum Beispiel,
trr ryyr irr qr) • durch Sperrung der Adresse bei der Telecom (PTT). Dann wird sie im Tele- fonbuch mit einem
• durch Sperrung der Adresse beim Schweizerischen Verband für Direkt- marketing, dem eine Mehrzahl der schweizerischen Direktmarketingfirmen angeschlossen sind. Adresse : SVD, Postfach, 8708 Männe- dorf v@vryshyyr irr qr) • indem unerwünschte Werbeschriften mit dem Vermerk "Ich untersage die Verwen- dung meiner Adresse zu Werbezwecken" an den Absender retourniert werden (aus Beweisgründen ist es besser, wenn die Mitteilung der Firma eingeschrieben geschickt wird).
• indem jedesmal, wenn die Adresse be- kannt gegeben wird (bei Wettbewerben, Bestellungen von Informationsmaterial, Vereinsbeitritten, Spenden, Bestellungen bei Versandhäusern; wenn Kundenkar- ten, Ra-battkarten usw. ausgefüllt wer- den), dieser Vermerk angebracht wird.
Da mit Adressen für Werbezwecke in der Schweiz wie auch in anderen Ländern ein schwungvoller Handel getrieben wird, ist es schwierig, jegliche Zustellung von adres- sierter Werbung zu unterbinden. Eine konsequente Anwendung der aufgelisteten Sperrmöglichkeiten führt aber auf jeden Fall zu einer starken Reduktion der Werbe- zuschriften.
Gemäss Datenschutzgesetz hat jede Person das Recht, vom Inhaber einer Daten- sammlung 6xs darüber zu verlangen, ob und welche Daten über sie bearbeitet werden. Einzelheiten zum Auskunftsrecht finden sich im Grvshqrqr@vqtr5v pur9hrpuirhs htr&ir qvrSrpurqr ir ssrrQr r
Um den Leitfaden zu bestellen und weitere Auskünfte zu erhalten, wenden Sie sich anden@vqtr5vpur9hrpuirhs htr""7r Ury)" "!!#"($.
! Svpuyvvrqr@vqtQr hyhr 6rqt@vryq B rrr shu rvqr hyyt7qrr hyt
(vom 6. November 1996)
Psychometrische Einzel- oder Gruppentestverfahren (wie Leistungs-, Intelli- genz- oder Persönlichkeitstest) und andere Persönlichkeits- resp. Leistungs- beurteilungssysteme (wie graphologisches Gutachten, biographischer Frage- bogen, Assessment, Assessment-Center) sind Hilfsmittel zur systematischen Einschätzung des aktuellen Potentials von gegenwärtigen oder künftigen Mit- arbeiter/innen und/oder der künftigen beruflichen oder persönlichen Entwick- lungsmöglichkeiten.
2.1 Einzel- oder Gruppentestverfahren sind sehr selektiv anzuwenden.
Das heisst, wenn die bereits vorhandenen Daten für die Beurteilung nicht ausreichen, die Testpersonen dem oberen Kader angehören, es sich um eine Schlüsselstelle handelt oder dieselben Verfahren bei wiederkehrend gleichen Beförderungs-, resp. Selekti- onssituationen für grössere Personengruppen eingesetzt werden können,und sich Aufwand und Ertrag rechtfertigen lassen.
2.2Die Verwendung psychometrischer und anderer Testverfahren zur Personal- förderung und Personalselektion in der allgemeinen Bundesverwaltung liegt in der Kompetenz der Departemente/Bundesämter. Sie tragen die volle Verant- wortung für Auswahl, Finanzierung und Einsatz der Testverfahren. Unter Ein- bezug der vorliegenden Richtlinien haben die Departemente mittels interner Weisung festzulegen, in welchen amtsspezifischen Situationen welche Test- verfahren zur Anwendung kommen. Diejenigen Personen, die mit der Test- durchführung betraut werden, sind durch die Amtsdirektion zu bezeichnen. Es ist sicherzustellen, dass sie in der Testanwendung geschult und in der An- wendung professionell begleitet werden durch Psychologen/Psychologinnen (mit FSP 1) -anerkannter Ausbildung oder IAP 2) -Diplom), die in der Testan- wendung, -auswertung und -interpretation geschult und erfahren sind (entsprechend qualifizierte Fachpersonen können auch durch den Anbieter gestellt werden).
2.3Die Beachtung der vorliegenden Richtlinien sichert ein faires und ethisch kor- rektes Verhalten gegenüber den Testpersonen und die Einhaltung der Daten- schutzgesetzgebung.
2.4Das Eidg. Departement für auswärtige Angelegenheiten erlässt in Anlehnung an die vorliegenden Richtlinien und im Einvernehmen mit dem Eidg. Perso- nalamt interne Richtlinien für das Zulassungsverfahren zum diplomatischen und konsularischen Dienst.
Tätigkeitsbericht 1996/1997 des EDSB 92
Umgang mit Testverfahren
3.1Es dürfen nur Testverfahren verwendet werden, die vrpuhsyvputr Es sind und srvryyq putrsEu werden.
3.2Den Anwendungen von Testverfahren müssen eine genaue Analyse des Anforderungsprofils und die Gewichtung dieser Anforderungen vorausgehen. Daraus müssen notwendigerweise die Selektions- resp. Förderkriterien für die derzeitigen und die künftigen Funktionen abgeleitet werden können. Die Test- ergebnisse wiederum müssen in direktem Bezug stehen zu den Kriterien und aussagekräftig sein.
3.3Anzahl und Umfang der eingesetzten Testverfahren (inkl. Beurteilung bereits vorhandener Daten) und die zu erwartende Qualität der Ergebnisse müssen der Bedeutung der Stelle resp. der Fördermassnahme angepasst sein. Perso- neller, finanzieller und zeitlicher Aufwand sind kritisch zu prüfen.
3.4 Qpur vpurqr hqr rUrr shu rqE srvrhyrvvtrqr vpuvtrD rrvtrrr qrDie Durchführung von Einzel- oder Gruppentestverfahren erspart in keinem Fall weder die Auswertung der vorhandenen Bewerbungsunterlagen resp. der bereits bekannten Leistungen noch das persönliche Auswertungs-, Selektions- resp. Fördergespräch oder den zu treffenden Selektions- resp. Förderentscheid.
3.5Die Testverfahren müssen in den drei Amtssprachen (deutsch, französisch, italienisch) angeboten werden können.
4.1Die Testperson muss im voraus um ihr @vr qv Urvyhurh Urr shu r ersucht werden.
4.2 Die Diskretion muss gewahrt bleiben. Nehmen zwei oder mehrere Personen desselben Bundesamtes/-betriebes an einem Testverfahren teil, und kann die Anonymität nicht mehr gewährleistet werden (z.B. durch die Testanlage in ei- nem Assessment-Center), sind die Testpersonen im voraus über diesen Um- stand zu informieren.
4.3Die getestete Person hat auf ihr Verlangen hin wrqr rv6 puhs rvtrpu xr@vvpu in das gesamte verwendete Testmaterial (wie Fra- gebogen, Auswertungsskalen, Computeranalysen) und die gesamten Testda- ten (wie Testantworten, Testergebnisse, Gesamtbewertungen).
4.4Die Testverfahren erbringen xrvriwrxvr 9hr. Die Datenerhebung und -auswertung erfolgt immer aufgrund eines bestimmten Menschen- oder Per- sönlichkeitsbildes, das dem Testverfahren zugrunde liegt. Die getestete Per- son muss deshalb vwrqrAhyyqvrHtyvpuxrvqr r yvpurTry ythur zu den Testdaten und deren Interpretation erhalten.
Umgang mit Testdaten
Tätigkeitsbericht 1996/1997 des EDSB 93
5.1Die Testperson muss im voraus über den Zweck des Testverfahrens und über die Verwendung der Testdaten informiert sein. Das Testverfahren und Testda- ten dürfen xrvrhqr rhyqrvqr Urr r rvih r arpxr rqr werden.
5.2Sämtliche Testdaten sind durch angemessene technische und organisatori- sche Massnahmen trtrirstr@vvpuqirstr7rh irvr puEr. Grundsätzlich dürfen nur die Testperson und die testdurchfüh- rende Person Zugang zu den Testanworten und Testergebnissen haben. Ent- scheidungsbefugten Personen darf nur im konkreten Fall eine aus den Ergeb- nissen resultierende Brhirr t zugänglich gemacht werden.
5.3Die Testdaten aus Selektionsverfahren sind iv6ipuyqr Wr shu rhsirhu rund der Testperson nach Abschluss des Verfah- rens vollständig und im Original auszuhändigen.
Testunterlagen, Testergebnisse oder Gesamtbeurteilungen, die einer internen Potentialerhebung dienen und über das Verfahren hinaus benötigt werden, können im Personaldossier unter Verschluss aufbewahrt werden. Die Testda- ten lassen jedoch nur während einer begrenzten Zeit verlässliche Aussagen über das Potential der betroffenen Personen zu. Die Gültigkeit der Testdaten muss deshalb nach längstens zwei Jahren im Gespräch mit der getesteten Person (z.B. im Rahmen der Beurteilungsgespräche) überprüft und das Resultat festgehalten werden (z.B. mit einer Notiz im Beurteilungsblatt).
WQr rqvrvpurvtrryyr qrqE srxrvrUrqhrhs irhu r qr
5.4Die Verwendung von Testdaten zu hvvpurarpxr, auch durch den Testhersteller oder -vertreiber, darf nur mit Einverständnis der Testperson und in anonymisierter Form stattfinden.
5.5Im übrigen gilt auch das Rundschreiben des EPA vom 26.01.1984 über den Schutz von Personaldaten in der allgemeinen Bundesverwaltung (C.3028). Zu beachten sind Art. 8 ff. Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (VDSG) und die Publikationen des Eidgenössischen Da- tenschutzbeauftragten zu diesem Thema, insbesondere der 'Leitfaden für die Bearbeitung von Personendaten in der Bundesverwaltung 1994.
" 9hrpuvDr rK7qhr7r yvHr hqL
7rvhpusytrqrUruhqryrvpuqvr7ir rtqrrtyvpurP vtv hyrrK9hhQ rpvhqQ vhpurDr rSr hqBvqhprLq pu qr7r yvr 9hrpuirhs htr
9hrpuqQ vhu rvDr r Bericht und Empfehlungen (verabschiedet bei der 20. Sitzung der Internationalen Arbeitsgruppe für Datenschutz in der Telekommunikation in Berlin am 19. November 1996 auf der Basis der Dis- kussionen der Arbeitsgruppe in Budapest am 15. und 16. April 1996) "Budapest-Berlin Memorandum"
ahrsht Es steht außer Zweifel, daß der gesetzliche und technische Datenschutz von Benut- zern des Internet gegenwärtig unzureichend ist. In diesem Dokument werden zehn Prinzipien zur Verbesserung des Datenschutzes im Internet beschrieben:
Die Diensteanbieter sollten jeden Benutzer des Internet unaufgefordert über die Risiken für seine Privatsphäre informieren. Der Benutzer wird dann diese Risiken gegen die erwarteten Vorteile abwägen müssen.
In vielen Fällen ist die Entscheidung, am Internet teilzunehmen und wie es zu be- nutzen ist, durch nationales Datenschutzrecht geregelt. Dies bedeutet z.B. daß per- sonenbezogene Daten nur auf eine nachvollziehbare Art und Weise gespeichert werden dürfen. Medizinische und andere besonders sensible personenbezogene Daten sollten nur in verschlüsselter Form über das Internet übertragen oder auf den an das Internet angeschlossenen Computern gespeichert werden. Polizeiliche Steckbriefe und Fahndungsaufrufe sollten nicht im Internet veröffentlicht werden.
Initiativen für eine engere internationale Zusammenarbeit, ja sogar für eine inter- nationale Konvention, die den Datenschutz im Zusammenhang mit grenzüberschrei- tenden Computernetzen und Diensten regelt, sollten unterstützt werden.
Es sollte ein internationaler Kontrollmechanismus geschaffen werden, der auf be- reits existierenden Strukturen wie der Internet Society und anderer Einrichtungen aufbauen könnte. Die Verantwortung für den Schutz personenbezogener Daten muß in einem gewissen Ausmaß institutionalisiert werden.
Nationale und internationale Gesetze sollten unmißverständlich regeln, daß auch der Vorgang der Übermittlung (z. B. durch elektronische Post) vom Post- und Fern- meldegeheimnis geschützt wird.
Darüber hinaus ist es notwendig, technische Mittel zur Verbesserung des Daten- schutzes der Benutzer auf dem Netz zu entwickeln. Es ist zwingend, Entwurfskrite- rien für Informations- und Kommunikationstechnologie und Multimedia-Hard- und Software zu entwickeln, die den Benutzer befähigen, die Verwendung seiner perso- nenbezogenen Daten selbst zu kontrollieren. Generell sollten die Benutzer jedenfalls in den Fällen die Möglichkeit haben, auf das Internet ohne Offenlegung ihrer Identität zuzugreifen, in denen personenbezogene Daten nicht erforderlich sind, um eine be- stimmte Dienstleistung zu erbringen,.
Auch für den Schutz der Vertraulichkeit sollten technische Mittel entwickelt wer- den. Insbesondere die Nutzung sicherer Verschlüsselungsmethoden muß eine rechtmäßige Möglichkeit für jeden Benutzer des Internet werden und bleiben.
Die Arbeitsgruppe würde eine Studie über die Machbarkeit eines neuen Zertifizie- rungsverfahrens durch die Ausgabe von "Qualitätsstempeln" für Diensteanbieter und Produkte im Hinblick auf ihre Datenschutzfreundlichkeit unterstützen. Diese könnten zu einer verbesserten Transparenz für die Benutzer der Datenautobahn führen.
Anonymität ist ein wichtiges zusätzliches Gut für den Datenschutz im Internet. Einschränkungen des Prinzips der Anonymität sollten strikt auf das begrenzt werden, was in einer demokratischen Gesellschaft notwendig ist, ohne jedoch das Prinzip als solches in Frage zu stellen.
Tätigkeitsbericht 1996/1997 des EDSB 95
Schließlich wird es entscheidend sein, herauszufinden, wie Selbstregulierung im Wege einer erweiterten "Netiquette" und datenschutzfreundliche Technologie die Implementierung nationaler und internationaler Regelung über den Datenschutz er- gänzen und verbessern können. Es wird nicht ausreichen, sich auf eine dieser Hand- lungsmöglichkeiten zu beschränken: Sie müssen effektiv kombiniert werden, um zu einer globalen Informations-Infrastruktur zu gelangen, die das Menschenrecht auf Datenschutz und unbeobachtete Kommunikation respektiert. 7r vpu Das Internet ist gegenwärtig das größte internationale Computernetz der Welt. In mehr als 140 Ländern gibt es "Auffahrten" zu dieser "Datenautobahn". Das Internet besteht aus mehr als vier Millionen angeschlossenen Rechnern ("hosts"); mehr als 40 Millionen Benutzer aus aller Welt können wenigstens einen der verschiedenen Internet-Dienste nutzen und haben die Möglichkeit, miteinander durch elektronische Post zu kommunizieren. Die Benutzer haben Zugriff auf einen immensen Informati- onsbestand, der an verschiedenen Orten in aller Welt gespeichert wird. Das Internet kann als erste Stufe der sich entwickelnden Globalen Informationsinfrastruktur (GII) bezeichnet werden. Das World Wide Web bildet als die modernste Benutzeroberflä- che im Internet eine Basis für neue interaktive Multimedia-Dienste. Die Internet- Protokolle werden zunehmend auch für die Kommunikation innerhalb großer Unter- nehmen genutzt ("Intranet"). Die Teilnehmer am Internet haben unterschiedliche Aufgaben, Interessen und Mög- lichkeiten: Die Software-, Computer- und Telekommunikationsindustrien erstellen die Kommu- nikationsnetze und die angebotenen Dienste.
Telekommunikationsorganisationen wie die nationalen Telekommunikationsunternehmen stellen die Basisnetze für die Datenübertragung zur Verfügung (Punkt-zu-Punkt- oder Punkt-zu-Mehrpunkt- Verbindungen).
Dienstleistungsunternehmen stellen Basisdienste für die Speicherung, Über- tragung und Darstellung von Daten zur Verfügung. Sie sind für den Daten- transport im Internet verantwortlich (routing, delivery) und verarbeiten Verbin- dungsdaten.
Informationsanbieter stellen den Benutzern in Dateien und Datenbanken gespeicherte Informationen zur Verfügung.
Die Benutzer greifen auf die verschiedenen Internet-Dienste (elektronische Post, news, Informationsdienste) zu und nutzen das Netz sowohl zur Unterhal- tung als auch für Teleshopping, Telearbeit, Fernunterricht und Telemedizin.
D Q iyrrqSvvxr Anders als bei der traditionellen Verarbeitung personenbezogener Daten, bei der normalerweise eine einzelne Behörde oder ein Unternehmen für den Schutz der per- sonenbezogenen Daten ihrer Kunden verantwortlich ist, ist im Internet eine solche Gesamtverantwortung keiner bestimmten Einrichtung zugewiesen. Darüber hinaus gibt es keinen internationalen Kontrollmechanismus zur Erzwingung der Einhaltung gesetzlicher Verpflichtungen, soweit diese existieren. Der Benutzer muß daher Ver- trauen in die Sicherheit des gesamten Netzes setzen, das bedeutet in jeden einzel- nen Bestandteil des Netzes, unabhängig davon, wo dieser angesiedelt ist oder von wem er verwaltet wird. Die Vertrauenswürdigkeit des Netzes wird durch die Einfüh-
rung neuer Software, bei deren Nutzung Programme aus dem Netz geladen werden und die mit einer Verschlechterung der Kontrolle der auf dem Rechner des Benut- zers gespeicherten personenbezogenen Daten verbunden ist, sogar noch wichtiger werden. Die schnelle Ausbreitung des Internet und seine zunehmende Nutzung für kommer- zielle und private Zwecke führen zur Entstehung schwerwiegender Datenschutzprob- leme:
Das Internet ermöglicht die schnelle Übertragung großer Informationsmengen auf beliebige andere an das Netzwerk angeschlossene Computersysteme. Sensible personenbezogene Daten können in Länder übertragen werden, die nicht über ein angemessenes Datenschutzniveau verfügen. Informationsan- bieter könnten personenbezogene Daten auf Rechnern in Ländern ohne jegli- che Datenschutzgesetzgebung anbieten, auf die aus aller Welt durch einen einfachen Mausklick zugegriffen werden kann.
Personenbezogene Daten können über Länder ohne jegliche oder ohne hin- reichende Datenschutzgesetzgebung geleitet werden. Im Internet, das ur- sprünglich für akademische Zwecke eingerichtet wurde, ist die Vertraulichkeit der Kommunikation nicht sichergestellt.
Es gibt keine zentrale Vermittlungsstelle oder sonstige verantwortliche Einrich- tung, die das gesamte Netz kontrolliert. Damit ist die Verantwortung für Da- tenschutz und Datensicherheit auf Millionen von Anbietern verteilt. Eine über- tragene Nachricht könnte an jedem Computersystem, das sie passiert, abge- hört und zurückverfolgt, verändert, gefälscht, unterdrückt oder verzögert wer- den. Trotzdem nimmt die Nutzung des Internet für Geschäftszwecke exponen- tiell zu, und personenbezogene und andere sensible Daten (Kreditkarten- Informationen und Gesundheitsdaten) werden über das Internet übertragen.
Bei der Nutzung von Internet-Diensten wird weder eine angemessene Ano- nymität noch eine angemessene Authentifizierung sichergestellt. Computer- netzwerk-Protokolle und viele Internet-Dienste arbeiten in der Regel mit dedi- zierten (Punkt-zu-Punkt-) Verbindungen. Zusätzlich zu den Inhaltsdaten wird dabei die Identität (ID) von Sender und Empfänger übertragen. Jeder elektro- nische Brief enthält einen "header" mit Informationen über Sender und Emp- fänger (Name und IP-Nummer, Name des Rechners, Zeitpunkt der Übertra- gung). Der "header" enthält weitere Informationen über den Übertragungsweg und den Inhalt der Nachricht. Er kann auch Hinweise auf Publikationen ande- rer Autoren enthalten. Die Benutzer sind gezwungen, eine elektronische Spur zu hinterlassen, die zur Erstellung eines Benutzerprofils über persönliche Inte- ressen und Vorlieben verwendet werden kann. Obwohl es keinen zentralen Abrechnungsmechanismus für Zugriffe auf news oder das World Wide Web gibt, kann das Informationsgebaren von Sendern und Empfängern zumindest von dem Dienstleistungsunternehmen, an das der Benutzer angeschlossen ist, verfolgt und überwacht werden.
Andererseits sind die unzureichenden Identifizierungs- und Authentifizie- rungsprozeduren im Internet bereits dazu benutzt worden, in unzureichend geschützte Computersysteme einzudringen, auf dort gespeicherte Informatio- nen zuzugreifen und diese zu verändern oder zu löschen. Das Fehlen einer
sicheren Authentifikation könnte auch genutzt werden, um auf kommerzielle Dienste auf Kosten eines anderen Benutzers zuzugreifen.
Die Teilnehmer am Internet haben ein gemeinsames Interesse an der Integrität und Vertraulichkeit der übertragenen Information: Die Benutzer sind an verläßlichen Diensten interessiert und erwarten, daß ihre personenbezogenen Daten geschützt werden. In bestimmten Fällen können sie ein Interesse daran haben, Dienste ohne Identifizierung benutzen zu können. Den Benutzern ist es normalerweise nicht be- wußt, daß sie beim "Surfen" im Netz einen globalen Marktplatz betreten und daß jeder einzelne Schritt dort überwacht werden kann. Andererseits sind viele Diensteanbieter an der Identifizierung und Authentifizierung von Benutzern interessiert: Sie benötigen personenbezogene Daten für die Abrech- nung, könnten diese Daten aber auch für andere Zwecke nutzen. Je mehr das Inter- net für kommerzielle Zwecke genutzt wird, desto interessanter wird es für Dienstean- bieter und andere Einrichtungen sein, so viele Verbindungsdaten über das Nutzer- verhalten im Netz wie möglich zu speichern und damit das Risiko für den Daten- schutz der Kunden zu verstärken. Unternehmen bieten in zunehmendem Maße frei- en Zugang zum Internet an, um sicherzustellen, daß die Kunden ihre Werbeanzei- gen lesen, die zu einer der hauptsächlichen Finanzierungsquellen des gesamten In- ternets werden. Die Unternehmen wollen nachvollziehen können, in welchem Aus- maß, von wem und wie oft ihre Werbeanzeigen gelesen werden. Im Hinblick auf die erwähnten Risiken kommt den Einrichtungen, die das Netz auf internationaler, regionaler und nationaler Ebene verwalten, insbesondere bei der Entwicklung der Protokolle und Standards für das Internet, bei der Festlegung der Regeln für die Identifikation der angeschlossenen Server und schließlich bei der I- dentifikation der Benutzer eine wichtige Funktion zu.
DD W uhqrrSrtrytrq@sruytr Obwohl verschiedene nationale Regierungen und internationale Organisationen (z. B. die Europäische Union) Programme gestartet haben, um die Entwicklung von Computernetzen und -diensten zu erleichtern und zu intensivieren, sind dabei nur sehr geringe Anstrengungen unternommen worden, um für ausreichende Daten- schutz- und Datensicherheitsregelungen zu sorgen. Einige nationale Datenschutz- behörden haben bereits Empfehlungen für die technische Sicherheit von an das In- ternet angeschlossenen Computernetzen und über Datenschutzrisiken für die ein- zelnen Benutzer von Internet-Diensten herausgegeben. Solche Empfehlungen sind z. B. in Frankreich, Großbritannien (vgl. den 11. Jahresbericht des Data Protection Registrar, Anhang 6) und in Deutschland erarbeitet worden. Die wesentlichen Punkte können wie folgt zusammengefaßt werden:
auf ihr Angebot zugreifenden Rechner, die abgerufenen Seiten und herunter- geladene Dateien zu speichern (wie es im Netz allgemein praktiziert wird). Na- tionale Regelungen können eine Verpflichtung für Informationsanbieter enthal- ten, sich bei einer nationalen Datenschutzbehörde anzumelden. Nationale Gesetze enthalten darüber hinaus spezielle Regelungen im Hinblick auf inter- nationales Straf-, Privat- und Verwaltungsrecht (Kollisionsrecht), die unter be- stimmten Umständen Lösungen bereitstellen können.
Bevor ein lokales Computernetz - z. B. das einer Behörde - an das Internet angeschlossen wird, müssen die Risiken für das lokale Netzwerk und die dar- auf gespeicherten Daten im Einklang mit dem nationalen Recht abgeschätzt werden. Dazu kann die Erarbeitung eines Sicherheitskonzepts und einer Ab- schätzung, ob es erforderlich ist, das gesamte Netz oder nur Teile davon an das Internet anzuschließen, gehören. Abhängig von dem verfolgten Zweck kann es sogar ausreichend sein, nur ein Einzelplatzsystem an das Netz anzu- schließen. Es sollten technische Maßnahmen getroffen werden, um sicherzu- stellen, daß auf dem Internet nur auf Daten, die veröffentlicht werden könnten, zugegriffen werden kann, z. B. durch Einrichtung eines Firewall-Systems, das das lokale Netzwerk vom Internet trennt. Es muß jedoch festgestellt werden, daß der Anschluß eines Computernetzwerks an das Internet eine Erhöhung des Sicherheitsrisikos auch dann bedeutet, wenn solche technischen Maß- nahmen getroffen worden sind.
Falls personenbezogene Daten von Nutzern eines bestimmten Dienstes ge- speichert werden, muß für die Benutzer klar sein, wer diese Daten nutzen wird und zu welchen Zwecken die Daten genutzt oder übermittelt werden sollen. Dies bedeutet eine Information am Bildschirm vor der Übermittlung und die Schaffung einer Möglichkeit, die Übermittlung zu unterbinden. Der Benutzer sollte in der Lage sein, diese Unterrichtung und aller übrigen Bedingungen, die durch den Diensteanbieter gestellt werden, auszudrucken.
Wenn der Zugang zu personenbezogenen Daten auf einem Computersystem bereitgestellt wird - z. B. durch die Veröffentlichung biographischer Angaben über Mitarbeiter in einem Verzeichnis - muß der Informationsanbieter sicher- stellen, daß diese Personen sich der globalen Natur des Zugriffs bewußt sind. Am sichersten ist es, die Daten nur mit der informierten Einwilligung der be- troffenen Person zu veröffentlichen.
Darüber hinaus gibt es eine Reihe von internationalen gesetzlichen Bestimmungen und Konventionen, die u. a. auch auf das Internet anwendbar sind:
Empfehlung des Rates über Leitlinien für den Schutz des Persönlichkeitsbe- reichs und den grenzüberschreitenden Verkehr personenbezogener Da- ten,verabschiedet vom Rat der Organisation für wirtschaftliche Zusammenar- beit und Entwicklung (OECD) am 23. September 1980
Übereinkommen des Europarates zum Schutz des Menschen bei der automa- tischen Verarbeitung personenbezogener Daten vom 28. Januar 1981
Richtlinien betreffend personenbezogene Daten in automatisierten Dateien, von der Generalversammlung der Vereinten Nationen verabschiedet am 4. Dezember 1990
Richtlinie des Rates der Europäischen Gemeinschaften 90/387/EWG vom 28. Juni 1990 zur Verwirklichung des Binnenmarktes für Telekommunikations- dienste durch Einführung eines offenen Netzzugangs (Open Network Provisi- on - ONP) (in der Datenschutz als "grundlegende Anforderung" definiert wird)
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung perso- nenbezogener Daten und zum freien Datenverkehr (EU-Datenschutzrichtlinie)
Allgemeines Abkommen über Handel und Dienstleistungen (GATS) (das in Artikel XIV regelt, daß die Mitgliedstaaten durch das weltweite Abkommen nicht daran gehindert werden, Regelungen über den Datenschutz von Einzel- personen im Zusammenhang mit der Verarbeitung und Verbreitung von per- sonenbezogenen Daten und dem Schutz der Vertraulichkeit von Akten und Aufzeichnungen über Einzelpersonen zu erlassen oder durchzusetzen).
Die Richtlinie der Europäischen Union enthält als erstes supra-nationales Gesetzes- werk eine wichtige Neudefinition des Begriffs "für die Verarbeitung Verantwortlicher", die im Zusammenhang mit dem Internet von Bedeutung ist. Artikel 2 Buchstabe c) definiert den "für die Verarbeitung Verantwortlichen" als die natürliche oder juristi- sche Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemein- sam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezoge- nen Daten entscheidet. Wenn man diese Definition auf die Nutzung des Internet für die Zwecke der Übermittlung elektronischer Post anwendet, muß der Absender einer elektronischen Nachricht als "für die Verarbeitung Verantwortlicher" dieser Nachricht angesehen werden, wenn er eine Datei mit personenbezogenen Daten absendet, da er die Zwecke und Mittel der Verarbeitung und Übermittlung dieser Daten bestimmt. Andererseits bestimmt der Anbieter eines Mailbox-Dienstes selbst die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Betrieb des Mailbox-Dienstes und hat damit wenigstens eine Mitverantwortung für die Einhaltung der anwendbaren Regelungen über den Datenschutz. Kürzlich hat die Europäische Kommission zwei Dokumente veröffentlicht, die zu ei- ner europäischen Gesetzgebung führen könnten und in diesem Fall beträchtliche Auswirkungen auf den Datenschutz im Internet haben werden: Mitteilung an das Europäische Parlament, den Rat, den Wirtschafts- und Sozia- lausschuß und den Ausschuß der Regionen über illegale und schädigende Inhalte im Internet (KOM(96) 487) und Grünbuch über den Jugendschutz und den Schutz der Menschenwürde in den au- diovisuellen und Informationsdiensten (KOM(96) 483). Obwohl auch diese nicht rechtlich bindend und eher auf einer nationalen denn auf einer internationalen Ebene verabschiedet worden sind, sollten die
genannt werden, da sie einen Einfluß auf die internationalen Datenflüsse haben werden. Sie sind intensiv und fruchtbar mit der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation bei einem gemeinsamen Treffen in Washing- ton D. C. am 28. April 1995 diskutiert worden. In der Praxis werden einige wichtige und effektive Regeln zur Selbstregulierung von der Netzgemeinde selbst aufgestellt (z. B. "Netiquette"). Solche Maßnahmen dürfen im Hinblick auf die Rolle, die sie gegenwärtig und zukünftig für den Datenschutz des einzelnen Benutzers spielen können, nicht unterschätzt werden. Sie tragen mindes- tens dazu bei, die nötige Aufmerksamkeit unter den Benutzern dafür zu schaffen, daß Vertraulichkeit als eine Grundanforderung auf dem Netz nicht existiert ("Sende oder speichere niemals etwas in Deiner Mailbox, das Du nicht in den Abendnachrich- ten sehen möchtest"). Die EU-Datenschutzrichtlinie wiederum fordert Verhaltensre- geln (Artikel 27), die von den Mitgliedstaaten und der Kommission gefördert werden sollen.
DDD@sruytr Es steht außer Zweifel, daß der gesetzliche und technische Datenschutz im Internet im Augenblick unzureichend ist. Das Recht jedes Einzelnen, die Datenautobahn zu benutzen, ohne überwacht und identifiziert zu werden, sollte garantiert werden. Andererseits muß es im Hinblick auf die Nutzung personenbezogener Daten auf der Datenautobahn (z. B. von Dritten) Grenzen geben ("Leitplanken"). Eine Lösung für dieses Grunddilemma muß auf folgenden Ebenen gefunden wer- den:
Die Diensteanbieter sollten jeden potentiellen Nutzer des Internet unaufgefordert über die Risiken für seine Privatsphäre informieren. Der Benutzer wird dann diese Risiken gegen die erwarteten Vorteile abwägen müssen.
Da "sowohl die einzelnen Teile der Netzwerk-Infrastruktur als auch die Benutzer jeder einen physikalischen Standort haben, können Staaten einen bestimmten Grad von Verläßlichkeit in bezug auf die Netze und ihre Teilnehmer verhängen und durch- setzen" (Joel Reidenberg). In vielen Fällen ist die Entscheidung, am Internet teilzu- nehmen und wie es zu benutzen ist, durch nationale Datenschutzgesetze geregelt. Personenbezogene Daten dürfen nur in einer nachvollziehbaren Art und Weise ge- speichert werden. Medizinische und andere sensible personenbezogene Daten soll- ten nur in verschlüsselter Form über das Internet übertragen oder auf den am Inter- net angeschlossenen Computern gespeichert werden. Es spricht viel dafür, die Nutzung des Internet für die Veröffentlichung von Steckbrie- fen und Fahndungsaufrufen durch die Polizei zu verbieten (das amerikanische Fede- ral Bureau of Investigations veröffentlicht seit einiger Zeit eine Liste von gesuchten Verdächtigen im Internet). Die beschriebenen Defizite der Authentifizierungsprozedu- ren und die leichte Manipulierbarkeit von Bildern im Cyberspace scheinen die Nut- zung des Internet für diesen Zweck auszuschließen.
Verschiedene nationale Regierungen haben internationale Übereinkommen über die globale Informations-Infrastruktur angeregt. Initiativen für eine engere internatio- nale Zusammenarbeit, ja sogar eine internationale Konvention, die den Datenschutz im Hinblick auf grenzüberschreitende Netze und Dienste regelt, sollten unterstützt werden.
Es sollte ein internationaler Kontrollmechanismus geschaffen werden, der auf be- reits existierenden Strukturen wie der Internet Society und anderer Einrichtungen aufbauen könnte. Die Verantwortung für den Schutz personenbezogener Daten muß in einem gewissen Ausmaß institutionalisiert werden.
Tätigkeitsbericht 1996/1997 des EDSB 101
Nationale und internationale Gesetze sollten unmißverständlich regeln, daß auch der Vorgang der Übermittlung (z. B. durch elektronische Post) vom Post- und Fern- meldegeheimnis geschützt wird.
Darüber hinaus ist es notwendig, technische Mittel zur Verbesserung des Daten- schutzes der Benutzer auf dem Netz zu entwickeln. Es ist zwingend, Entwurfskrite- rien für Informations- und Kommunikationstechnologie und Multimedia-Hard- und Software zu entwickeln, die den Benutzer befähigen, die Verwendung seiner perso- nenbezogenen Daten selbst zu kontrollieren. Generell sollten die Benutzer jedenfalls in den Fällen die Möglichkeit haben, auf das Internet ohne Offenlegung ihrer Identität zuzugreifen, in denen personenbezogene Daten nicht erforderlich sind, um eine be- stimmte Dienstleistung zu erbringen. Konzepte für solche Maßnahmen sind bereits entwickelt und veröffentlicht worden. Beispiele sind das "Identity-Protector"-Konzept, das in "Privacy-enhancing technologies: The path to anonymity" von der nie- derländischen Registratiekamer und dem Datenschutzbeauftragten von Onta- rio/Kanada enthalten ist (vorgestellt auf der 17. Internationalen Konferenz der Da- tenschutzbeauftragten in Kopenhagen (1995)) und das "User Agent-Konzept", das auf der gemeinsamen Sitzung der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation und der Privacy Working Group der Information Infrastructu- re Task Force vorgestellt wurde (April 1995).
Auch für den Schutz der Vertraulichkeit sollten technische Mittel entwickelt wer- den. Die Nutzung sicherer Verschlüsselungsmethoden muß eine rechtmäßige Möglichkeit für jeden Benutzer des Internet werden und bleiben. Die Arbeitsgruppe unterstützt neue Entwicklungen im Internet-Protokoll (z. B. IP v6), die die Vertraulichkeit durch Verschlüsselung, Klassifizierung von Nachrichten und bessere Authentifizierungsprozeduren verbessern. Die Hersteller von Software soll- ten den Sicherheitsstandard des neuen Internet-Protokolls in ihre Produkte aufneh- men und Diensteanbieter sollten die Nutzung dieser Produkte so schnell wie möglich unterstützen.
Die Arbeitsgruppe würde eine Studie über die Machbarkeit eines neuen Zertifizie- rungsverfahrens durch die Ausgabe von "Qualitätsstempeln" für Diensteanbieter und Produkte im Hinblick auf ihre Datenschutzfreundlichkeit unterstützen. Diese könnten zu einer verbesserten Transparenz für die Benutzer der Datenautobahn führen.
Anonymität ist ein wichtiges zusätzliches Gut für den Datenschutz im Internet. Einschränkungen des Prinzips der Anonymität sollten strikt auf das begrenzt werden, was in einer demokratischen Gesellschaft notwendig ist, ohne jedoch das Prinzip als solches in Frage zu stellen.
Schließlich wird es entscheidend sein, herauszufinden, wie Selbstregulierung im Wege einer erweiterten "Netiquette" und datenschutzfreundliche Technologie die Implementierung nationaler und internationaler Regelung über den Datenschutz er- gänzen und verbessern können. Es wird nicht ausreichen, sich auf eine dieser Hand- lungsmöglichkeiten zu beschränken: Sie müssen effektiv kombiniert werden, um zu einer globalen Informations-Infrastruktur zu gelangen, die das Menschenrecht auf Datenschutz und unbeobachtete Kommunikation respektiert. Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation wird die weitere Entwicklung in diesem Bereich genau beobachten, Anregungen aus der Netzgemeinde berücksichtigen und weitere, detailliertere Vorschläge entwickeln.
Tätigkeitsbericht 1996/1997 des EDSB 102
rqvvvpur7r rvpu
vgl. S. 223ff.
$ 9hrpuirvtrvs ryyrBrrr
• Srpuryyr: Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) Art. 4 Abs. 2 und 3, Art 6 Abs. 1, Art. 17 Abs. 2, Art. 19 Abs. 1, 3 und 4 sowie Art. 38 Abs. 3.
• 6yytrrvtvy: Werden besonders schützenswerte Personendaten oder Persönlich- keitsprofile regelmässig bearbeitet, muss dies in einem formellen Gesetz gesagt werden. Dabei müssen arpxqVsht der Datenbearbeitung, allenfalls die da- bei verwendeten Hvry sowie die zur Bearbeitung irstr7ru qr hinrei- chend bestimmt sein. Mit Blick auf die anstehende Verwaltungsreorganisation er- scheint es als ratsam, nach Möglichkeit aufgabenspezifische Behördenbezeichnun- gen zu wählen, soweit dadurch das Gebot der hinreichenden Bestimmtheit von Erlas- sen nicht verletzt wird.
• Sollen r r puvrqrr7ru qr und zu verschiedenen Bearbeitungszwecken regelmässig Personendaten, namentlich besonders schützenswerte Personendaten oder Persönlichkeitsprofile, htrhpu werden, muss dies im formellen Gesetz ausdrücklich gesagt sein. Erhalten einzelne Behörden im 6i sr shu r Zugriff auf diese Daten, muss auch dieser Umstand ausdrücklich erwähnt und die ermächtigte Behörde genannt werden. Erfolgt der Austausch regelmässig mit 7ru qrqr 6yhqr, muss dies ebenfalls ausdrücklich geregelt werden.
• Wird in diesem Zusammenhang ein grosses und verzweigtes @9WTr („ver- wendete Mittel“) bei der Datenbearbeitung eingesetzt, in welchem in erheblichem Umfang und von verschiedenen Behörden Personendaten, namentlich besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden, muss dies - wie dargelegt - ebenfalls im formellen Gesetz ausdrücklich gesagt sein.
• Erweisen sich gewisse Grundrechtseingriffe nur zusammen mit konkreten, bereichs- spezifischen Tpuhsyhtr als grundrechtskonform, sind auch diese Schutzaufla- gen bzw. die Grenzen der vorgesehenen Eingriffe formellgesetzlich zu regeln. Bei- spiele solcher Vorschriften stellen die Bestimmungen über die Hhhurqr Qr r(ir hputvrpuvpurHvryqqr r7rt rti F yyr im BStP dar (vgl. Art. 65 ff. BStP) oder die Bestimmungen über den Tpuqr 9hrirrvyvtr 9 vr irvQr rhis htr aus dem Zentralen Ausländerregister zu Identifikationszwecken bei der Strafverfolgung (vgl. heute: Art. 7 Abs. 3 ZAR-Verordnung, SR 142.215, sowie Art. 22e Abs. 2 des Entwurfs gemäss bundesrätlicher Botschaft vom 4. Dezember 1995 zum revidierten Ausländergesetz, BBl 1996 II 179).
• 9vrr6s+uytvvpuhipuyvrrq. Ob und in welchem Umfang bspw. 9r yrthvr angezeigt sind, hängt stark von den Besonderheiten des jeweiligen Re- gelungsgegenstandes ab. Ebensowenig soll mit den vorliegenden Ausführungen eine bestimmte zu wählende Systematik oder Gesetzessprache als „verbindlich“ erklärt werden.
• Gvr h : Kommentar zum Schweizerischen Datenschutzgesetz (Hsg. Urs Mau- rer/Nedim Peter Vogt), Basel/Frankfurt a.M. 1995; ferner: Gutachten vom 9.8.95 des EDSB, abgedruckt in VPB 60.77 mit weiterführenden Zitierungen; EDSB, Leitfaden für die Bearbeitung von Personendaten in der Bundesverwaltung, Bern 1994.
% @HQA@CGVIB@IDES@9T7
6.1. Empfehlung über die Einführung des Datenbearbeitungssystems bezüglich des Personals der Bundesverwaltung BV-PLUS
Bern, den 4. Juli 1996
@HQA@CGVIB
trR
6 !&6i#qr7qrtrrrEir qr9hrpu (Ev ((! 9TB
vThpur
@vsEu tqr9hrirh irvtrirEtyvpuqrQr hyqr 7 qrr hyt7WQGVT
D 9r @vqtrvpur9hrpuirhs htrryysr)
Das Eidgenössische Personalamt hat 1992/1993 eine strategische Informati- onsplanung (SIP) zur Erhebung der Informationsbedürfnisse in der Bundes- verwaltung durchgeführt. Nach Feststellung der eingetretenen Veränderungen wurde 1993 ein Projekt für ein neues Datenbearbeitungssystem bezüglich des Personals der Bundesverwaltung initialisiert und in den darauffolgenden Jah- ren nach dem HERMES-Verfahren entwickelt. Das Projekt, welches BV-PLUS (Bundesverwaltung, Personal-, Lohn- und Stellenbewirtschaftungssystem) ge- nannt wurde, soll das bestehende Datenbearbeitungssystem PERIBU ablö- sen.
Am 25. Juni 1993 wurde das Eidgenössische Personalamt durch den Eidge- nössischen Datenschutzbeauftragten auf die Tendenz einer dezentralisierten Datenbearbeitung in der Bundesverwaltung aufmerksam gemacht. Wegen der Bearbeitung von besonders schützenswerten Personendaten betonte der Eid- genössische Datenschutzbeauftragte im gleichen Schreiben die Notwendigkeit einer gesetzlichen Grundlage im formellen Sinne. Die Details der Datenbear- beitungen und der entsprechenden Systeme - mithin auch des BV-PLUS - hätten dann im damaligen Entwurf einer P qhprppr hyh rpv qrq>r ryhvrhhtrqryh8s>q> hv(Verordnung über den Schutz der Daten von Bediensteten der Bundesverwaltung) geregelt sein müssen. Auch im Tätigkeitsbericht 1993/1994 des Eidgenössischen Daten- schutzbeauftragten wurde, neben der Feststellung der Tendenz zur Dezentra- lisierung der Datenbearbeitung bezüglich des Personals in der Bundesverwal-
Tätigkeitsbericht 1996/1997 des EDSB 105
tung, auch die Notwendigkeit von gesetzlichen Grundlagen für die entspre- chenden Datenbearbeitungssysteme festgehalten.
Zur Zeit befindet sich das Projekt BV-PLUS in der Phase der Realisierung und soll im Verlaufe von 1996/1997 im Rahmen eines Pilotversuches mit drei Bundesämtern getestet werden und schrittweise in den produktiven Betrieb übergehen. 1998 soll das System die ganze Bundesverwaltung bedienen. Vom Stand der Projektentwicklung hat der Eidgenössische Datenschutzbeauf- tragte erst anfangs 1996 Kenntnis erhalten.
Mit Schreiben vom 24. Januar 1996 verlangte der Eidgenössische Daten- schutzbeauftragte vom Eidgenössischen Personalamt die Herausgabe sämtli- cher Dokumentation in Zusammenhang mit der Entwicklung des Systems BV- PLUS zur Abklärung des Sachverhaltes.
Gleichzeitig wurde das System BV-PLUS durch das Eidgenössische Perso- nalamt beim Eidgenössischen Datenschutzbeauftragten zur Registrierung an- gemeldet. Es wurde jedoch vorläufig nicht im Register der Datensammlungen aufgenommen und publiziert.
Eine anfangs April 1996 stattgefundene Sitzung zwischen dem Eidgenössi- schen Personalamt und dem Eidgenössischen Datenschutzbeauftragten er- gab, daß das System BV-PLUS, welches die Bearbeitung von besonders schützenswerten Personendaten vorsieht, keine gesetzliche Grundlage auf- weist. Insbesondere wurde die P qhprppr hyh rpvqrq >r ryhvrhhtrqryh8s>q> hv nicht realisiert. Ein Bearbei- tungsreglement - wie seitens des Eidgenössischen Personalamtes als gesetz- liche Grundlage für BV-PLUS vorgeschlagen - genügt den datenschutzrechtli- chen Anforderungen an die gesetzliche Grundlage nicht. Der Eidgenössische Datenschutzbeauftragte hält weiterhin fest, daß auch ein Pilotversuch mit BV- PLUS ohne geeignete gesetzlichen Grundlagen nicht gestartet werden kann. Das Eidgenössische Personalamt wird darauf aufmerksam gemacht, daß der Eidgenössische Datenschutzbeauftragte in die Projektentwicklung und in die Realisierung der gesetzlichen Grundlagen von Anfang an hätte einbezogen werden müssen.
Mit Schreiben vom 7. Mai 1996 äußert sich das Eidgenössische Personalamt zu den vom Eidgenössischen Datenschutzbeauftragten gestellten daten- schutzrechtlichen Anforderungen an das System BV-PLUS. Nach Meinung des Eidgenössischen Personalamtes sollten für BV-PLUS mangels Bearbei- tung von besonders schützenswerten Personendaten sowie Persönlichkeits- profilen reduzierte Anforderungen an die gesetzliche Grundlage bestehen. Die Verankerung des Systems in einer höheren gesetzlichen Grundlage könnte al- lenfalls erst mittelfristig im Rahmen des neuen Bundespersonalgesetzes er- folgen.
DD 9r @vqtrvpur9hrpuirhs htrvruv@ tt)
BV-PLUS stellt ein Datenbearbeitungssystem im Sinne des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) dar, weshalb dieses zur Anwendung
Tätigkeitsbericht 1996/1997 des EDSB 106
gelangt. Art. 27 DSG ermächtigt und verpflichtet den Eidgenössischen Daten- schutzbeauftragten, die Einhaltung des Datenschutzgesetzes durch die Bun- desorgane zu überwachen und bei der Feststellung einer Verletzung von Da- tenschutzvorschriften dem verantwortlichen Bundesorgan zu empfehlen, das Bearbeiten zu ändern oder zu unterlassen.
Unter einer gesetzlichen Grundlage versteht man nicht nur ein Gesetz im for- mellen Sinne, sondern jegliche Rechtsnorm, die sich auf ein Gesetz im formel- len Sinne stützt (Gesetz im materiellen Sinn). Der erforderliche Bestimmt- heitsgrad der Norm hängt von der Wichtigkeit der Bearbeitung, den Katego- rien der bearbeiteten Daten (Schwere der Persönlichkeitsverletzung), dem Kreis der betroffenen Personen und der Erheblichkeit des Informationssys- tems ab. So erfordert ein offenes Informationssystem, das verschiedenen Or- ganen einen Zugriff auf die Daten erlaubt, eine detailliertere Reglementierung, die den Zweck der Datenbearbeitung, die Systemorganisation, den oder die Verantwortlichen des Informationssystems sowie die beteiligten Organe fest- legt. Zudem muß die Rechtsgrundlage enthalten: die gespeicherten Daten, die Herkunft der Daten, die zugriffsberechtigten Personen und Organe, den Zugriffsumfang, die Aufbewahrungsdauer, die Datenbearbeitung, -benutzung und -weitergabe, eventuelle Abrufverfahren sowie die besonderen Sicher- heitsmaßnahmen.
Das DSG verlangt grundsätzlich eine gesetzliche Grundlage im formellen Sin- ne, wenn die Bearbeitung zu einem schweren Eingriff in die Freiheiten und Grundrechte der betroffenen Personen führen kann (Art. 17 Abs. 2 DSG). Je größer der Kreis der betroffenen Personen, je umfangreicher der Katalog der bearbeiteten Personendaten, je heikler die Daten oder das Bearbeitungsfeld und je offener das Informationssystem, desto schwerer ist der Eingriff in die Persönlichkeit und desto höhere Anforderungen sind an die Gesetzesstufe zu stellen. Die formellgesetzliche Norm muß zumindest den Zweck und den Um- fang der Bearbeitung präzisieren. Eine systemspezifische Verordnung soll dann die Details regeln.
Art. 19 DSG sieht die Notwendigkeit von gesetzlichen Grundlagen für die Bekanntgabe von Personendaten durch Bundesorgane vor. Gemäß Absatz 3 dieser Bestimmung bedarf die Datenbekanntgabe einer gesetzlichen Grund- lage im formellen Sinne, wenn besonders schützenswerte Personendaten und/oder Persönlichkeitsprofile durch ein Abrufverfahren bekanntgegeben werden.
Die vom Eidgenössischen Datenschutzbeauftragten aufgrund von Art. 27 DSG vorgenommenen Abklärungen haben ergeben, daß mit dem System BV- PLUS z. T. besonders schützenswerte Personendaten und/oder Persönlich- keitsprofile bearbeitet werden; dies ergibt sich insbesondere aus der Anmel-
Tätigkeitsbericht 1996/1997 des EDSB 107
dung der Datensammlung vom 23. Januar 1996. Die Daten werden an die Departemente und Ämter durch Abrufverfahren bekanntgegeben.
Die in der Anmeldung der Datensammlung angegebene Rechtsgrundlage für BV-PLUS (Beamtengesetz vom 30. Juni 1927, SR 172.221.10) vermag den gewünschten datenschutzrechtlichen Anforderungen an die gesetzliche Grundlage (Art. 17 Abs. 2 und 19 DSG) nicht zu genügen. Insbesondere erteilt Art. 64 Abs. 1 lit. d des Beamtengesetzes dem Eidgenössischen Personalamt lediglich die Aufgabe, organisatorische Maßnahmen vorzusehen, ohne daß dabei ein entsprechendes Datenbearbeitungssystem namentlich bezeichnet und zumindest dessen Zweck sowie Bearbeitungsumfang festgelegt wird. Ei- ne systemspezifische Verordnung für BV-PLUS besteht auch nicht. Auch ein Bearbeitungsreglement genügt weder als formell- noch als materiellgesetzli- che Grundlage für BV-PLUS.
• die Inbetriebsetzung des Systems dringlich ist, • keine Ersatzlösung besteht und • das neue System auf die konkreten Erkenntnisse des Pilotversuches an- gewiesen ist.
Keine dieser Voraussetzungen ist erfüllt.
wie das beim BV-PLUS der Fall ist - die Bearbeitung von besonders schüt- zenswerten Personendaten oder Persönlichkeitsprofilen verlangen.
Auch Art. 17 Abs. 2 lit. b und c DSG findet keine Anwendung. Einerseits be- findet man sich in einem die Persönlichkeit gefährdenden Bereich und der Bundesrat hat keine entsprechende Bewilligung erteilt (lit. b), andererseits müßten alle durch die Datenbearbeitung betroffenen Angestellten der Bun- desverwaltung ihre Daten allgemein zugänglich gemacht haben oder zur Be- arbeitung mit BV-PLUS eingewilligt haben (lit. c).
Gemäß Art. 38 Abs. 3 DSG dürfen Bundesorgane eine bestehende Daten- sammlung mit besonders schützenswerten Personendaten und/oder mit Per-
Tätigkeitsbericht 1996/1997 des EDSB 108
sönlichkeitsprofilen noch während fünf Jahren nach Inkrafttreten des Geset- zes benützen, ohne daß die Voraussetzungen von Artikel 17 Abs. 2 DSG er- füllt sind. Diese Bestimmung ist im vorliegendem Fall nicht anwendbar, da BV- PLUS ein neues und kein bestehendes Datenbearbeitungssystem darstellt.
DDD 6st qqvrr @ ttrrsvruyqr @vqtrvpur9hr puirhs htr)
Das Eidgenössische Personalamt soll das zentralisierte System BV-PLUS lediglich für die Lohnbewirtschaftung des Personals der Bundesverwaltung einsetzen. Die Datenmenge soll dabei auf die für die Erfüllung dieser Aufgabe unentbehrlichen Daten reduziert werden.
Das Eidgenössische Personalamt schafft vor Pilotversuch und definitive Inbe- triebsetzung des Systems BV-PLUS die nötigen formell- und materiellgesetzli- chen Grundlagen. Der Eidgenössische Datenschutzbeauftragte ist in der Aus- arbeitung der gesetzlichen Grundlagen für BV-PLUS rechtzeitig einzubezie- hen.
Das Eidgenössische Personalamt benachrichtigt den Eidgenössischen Daten- schutzbeauftragten innerhalb von dreissig Tagen, ob es die Empfehlung ab-
Tätigkeitsbericht 1996/1997 des EDSB 109
lehnt oder nicht. Wird die Empfehlung abgelehnt oder stellt der Eidg. Daten- schutzbeauftragte nach Ablauf der Frist fest, daß sie nicht eingehalten wird, so kann er die Angelegenheit gemäß Art. 27 Abs. 5 DSG dem Eidgenössi- schen Finanzdepartement zum Entscheid vorlegen.
@D9B@IJTTDT8C@S 96U@IT8CVUa7@6VAUS6BU@S
O. Guntern
6.2. Empfehlung über die Produktion und Vertrieb des Verzeichnisses der schwei- zerischen Fahrzeughalter auf CD-ROM
Bern, den 17. Januar 1997
@HQA@CGVIB
tr
6 !(6i"qr7qrtrrrEir qr9hrpu (Ev ((! 9TB
vThpur
Q qxvqWr vriqrWr rvpuvrqr purvr vpurAhu rtuhy r hs89SPHq puqvrAv h
D 9r @vqtrvpur9hrpuirhs htrryysr)
Der Eidgenössische Datenschutzbeauftragte wurde von der Datenschutzauf- sichtsstelle des Kantons Bern vom 26. November 1996, vom Strassenver- kehrsamt des Kantons Zürich vom 27. November 1996, von der Aufsichtsbe- hörde für Datenschutz des Kantons Freiburg vom 28. November 1996 sowie von der Aufsichtsstelle Datenschutz Basellandschaft vom 2. Dezember 1996 auf die Produktion und den Vertrieb eines Verzeichnisses der schweizeri- schen Fahrzeughalter auf CD-ROM durch die Firma x, aufmerksam gemacht.
Mit Schreiben vom 6. Dezember 1996 wurde die Firma x durch den Eidgenös- sischen Datenschutzbeauftragten aufgefordert, die Produktion und den Ver- trieb der fraglichen CD-ROM bis zur Klärung des Sachverhaltes einzustellen. Zu diesem Zweck wurde die Dex Handels GmbH durch den Eidgenössischen Datenschutzbeauftragten über die durch die CD-ROM bearbeiteten Perso- nendaten, deren Herkunft und Richtigkeit sowie über die gebotenen Suchkrite- rien befragt.
Mit Schreiben vom 19. Dezember 1996 bestätigte die Firma x, vertreten durch Rechtsanwalt x, die Einstellung der Produktion und des Vertriebes der fragli- chen CD-ROM und nahm zu den Fragen des Eidgenössischen Datenschutz- beauftragten Stellung. Die Dex Handels GmbH führte insbesondere aus, dass die CD-ROM-Daten aus den offiziellen kantonalen Verzeichnissen der Motorfahrzeughalter stam- men und dass für die Produktion und den Vertrieb der CD-ROM kein offizielles Mandat besteht. Ferner erklärte sie, ein elektronisches Motorfahrzeugver- zeichnis werde bereits von verschiedenen Firmen über Videotex angeboten.
Gemäss Produktebeschreibung der Firma enthält die CD-ROM die Daten von über 3 Mio. Schweizer Fahrzeughalter(inne)n. Der Eidgenössische Daten- schutzbeauftragte stellte anhand der von der Winterthurer Firma zur Verfü-
Tätigkeitsbericht 1996/1997 des EDSB 111
gung gestellten CD-ROM weiter fest, dass die Richtigkeit und Aktualität der Daten nicht gewährleistet sei. Die Untersuchung der CD-ROM ergab ausser- dem, dass mehrere Suchoptionen weitergehende Abfragemöglichkeiten er- lauben. Die Suchoption @hpuGrvuhtrA kann zudem zu Missverständnissen führen, da nicht in jedem Fall feststeht, ob Verleiher oder Entlehner von Fahr- zeugen betroffen sind.
DD 9r @vqtrvpur9hrpuirhs htrvruv@ tt)
Grundlage für die rechtliche Beurteilung der Angelegenheit bilden neben dem Datenschutzgesetz auch das Strassenverkehrsgesetz (SVG, SR 741.01) und die dazugehörende Verordnung über die Zulassung von Personen und Fahr- zeugen zum Strassenverkehr (VZV, SR 741.51).
Art. 29 Abs. 1 lit. a DSG ermächtigt und verpflichtet den Eidgenössischen Da- tenschutzbeauftragten, den Sachverhalt von sich aus oder auf Meldung Dritter näher abzuklären, wenn Bearbeitungsmethoden geeignet sind, die Persön- lichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Ein Systemfehler liegt dann vor, wenn Fehler von Informationssystemen der EDV bestehen, oder aber wenn ein Datenbearbeitungssystem vuhyyvpu rechtswid- rig, d. h. die Bearbeitung als solche so angelegt ist, dass sie geeignet ist, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Entscheid der Eidgenössischen Datenschutzkommission Nr. 1/95 vom 21. November 1996). Das Vorliegen eines Systemfehlers ist Voraussetzung für die Abgabe einer Empfehlung im Sinne von Art. 29 Abs. 3 DSG. Es ist demnach zu prü- fen, ob die CD-ROM geeignet ist, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Zur Prüfung dieser Frage ist als erstes von Art. 126 Abs. 1 VZV auszugehen. Gemäss dieser Bestimmung dürfen Name und Vorname eines Fahrzeughal- ters nur aufgrund des Kontrollschildes gesucht und bekanntgegeben werden. Damit hat der Gesetzgeber die Bearbeitungsmöglichkeiten auf ein Minimum beschränken wollen, um schwerwiegende Eingriffe in die Persönlichkeit der Fahrzeughalter (etwa durch Ausspionieren der Privatsphäre, Belästigungen unbescholtener Personen, Erleichterungen krimineller Handlungen, usw.) möglichst zu vermeiden. Obwohl die gedruckten Verzeichnisse entgegen dem Wortlaut von Art. 126 VZV in gewissen Fällen auch Beruf und Titel der Fahr- zeughalter bekanntgeben (diese Daten wurden auch in die CD-ROM aufge- nommen), lassen sie entsprechend der VZV keine weiteren Suchkriterien zu. Die durch die CD-ROM vorgesehenen, zahlreichen Suchkriterien und -
Tätigkeitsbericht 1996/1997 des EDSB 112
optionen - nach Name, Gemeinde, Postleitzahl, Kontrollschild - stehen somit in Widerspruch zu Art. 126 VZV. Die fragliche CD-ROM, die Daten von über 3 Mio. Fahrzeughaltern beinhaltet, stellt zusammen mit den unzulässigen Such- optionen eine Verletzung der Persönlichkeit einer grösseren Anzahl von Per- sonen dar. Die angebotenen Suchmöglichkeiten kollidieren aus dem genann- ten Grund auch mit dem datenschutzrechtlichen Verhältnismässigkeitsprinzip von Art. 4 Abs. 2 DSG, wonach Bearbeitungsmethoden, die mangels eines öf- fentlichen Interesses nicht nötig sind, auch nicht vorzusehen sind. Die Unver- hältnismässigkeit der fraglichen Bearbeitung lässt sich insbesondere durch Vergleich mit dem Auskunftsdienst 111 der Telecom PTT veranschaulichen. Dieser Dienst erteilt nur aufgrund der Schildnummer Auskunft über einen ein- zigen Fahrzeughalter pro Anfrage. Die CD-ROM erlaubt durch die zahlreichen, umfassenden Suchkriterien praktisch unbeschränkte Suche. Genau diese Ge- fahr hat der Gesetzgeber mit Art. 126 VZV vermeiden wollen.
Ferner kann die durch die CD-ROM vorgesehene Suchoption @ GrvuhtrA dadurch zu Missverständnissen führen, dass nicht in jedem Falle klar steht, ob die gefundenen Daten Verleiher oder Entlehner von Wagen betreffen. Dies stellt eine Missachtung des Transparenzprinzipes dar.
Art. 4 Abs. 3 DSG besagt, dass Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umstän- den ersichtlich oder gesetzlich vorgesehen ist. Dieser Grundsatz findet sich auch in Ziff. 2.2 der Empfehlung Nr. R (91) 10 des Ministerkomitees des Eu- roparates an die Mitgliedstaaten für die Übermittlung der von öffentlichen Stel- len gespeicherten personenbezogenen Daten an Dritte. Fahrzeughalterdaten werden zu Zwecken bearbeitet und veröffentlicht, die in einem direkten Zu- sammenhang mit der Erfüllung der strassenverkehrsrechtlichen Aufgaben, insbesondere mit der Erfüllung polizeilicher Aufgaben (vgl. v. a. Art. 125 Abs. 2 VZV) stehen. Eine Weiterbearbeitung dieser Daten durch Private zu ande- ren Zwecken ist somit ausgeschlossen. Der Vertrieb der Fahrzeughalterdaten durch die Firma x stellt eine kommerzielle Tätigkeit dar, die mit den von der Strassenverkehrsgesetzgebung gestellten Ziele in Widerspruch steht. Da- durch wird das Zweckbindungsgebot von Art. 4 Abs. 3 DSG verletzt.
Die Überprüfung der CD-ROM hat dann weiter ergeben, dass die Richtigkeit der Daten gemäss Art. 5 Abs. 1 DSG und deren Aktualität z. T. nicht gewähr- leistet sind. So wird bspw. der Buchstabe A durch das Einscannen oft als Zif- fer 4 wiedergegeben (vgl. bspw. die zur Schildnummer GR 25611 gehörenden Daten).
Weitere, oft auftretende Einscannfehler werden bspw. bei den zur Schild- nummer SG 18435 gehörenden Daten veranschaulicht. Andere Mängel treten bei der Wiedergabe der Ortschaft auf: so heisst bspw. die Ortschaft, welche die Postleitzahl 7745 hat, nicht CURT, sondern LI CURT.
Gemäss Art. 104 Abs. 5 SVG uhirqvrFhrrrv rvpurqrD r rrtyhiuhstrhpuv qqvrIhrAhu rtuhyr qvu r Wr vpur r irxhtrir9hWr rvpuvqr Ihrqr Ahu rtuhy r xhr 5ssryvpur qr Diese Norm legt eine klare und ausschliessli- che Kompetenz der Kantone fest, Fahrzeughalterdaten zu veröffentlichen und
Tätigkeitsbericht 1996/1997 des EDSB 113
bekanntzugeben. Letztere können Dritte mit der Produktion und Vertrieb der Register der Fahrzeughalter beauftragen.
Wie die Firma x schriftlich bestätigt hat, wurde sie von den kantonalen Stras- senverkehrsbehörden mit der Veröffentlichung der Fahrzeughalterdaten auf CD-ROM nicht beauftragt, sondern übernahm die Fahrzeughalterdaten direkt und ohne Einholung der Einwilligung durch die zuständigen kantonalen Be- hörden aus den kantonalen Strassenverkehrsverzeichnissen. Ein solches Ein- verständnis für die Verfolgung kommerzieller Zwecke wäre jedoch aufgrund der klaren Zielsetzungen der Strassenverkehrsgesetzgebung kaum denkbar gewesen. Es steht demnach fest, Firma x mit der Produktion und Vertrieb der fraglichen CD-ROM die in Art. 104 Abs. 5 SVG statuierte Kompetenznorm zu- gunsten der Kantone missachtet hat. Aus diesem Grunde erscheint die An- eignung und die Veröffentlichung der Fahrzeughalterdaten auf CD-ROM durch Firma x auch als eine Verletzung von Art. 4 Abs. 1 DSG, wonach Personenda- ten nur rechtmässig beschafft werden dürfen.
Wie bereits festgestellt, werden die Fahrzeughalterdaten nicht erst nach Ein- holung der Einwilligung der betroffenen Personen der Öffentlichkeit zugäng- lich gemacht, sondern die Publikation erfolgt von Gesetzes wegen (Art. 104 Abs. 5 SVG). Das SVG sieht dann auch nicht vor, dass die Fahrzeughalterda- ten zu kommerziellen Zwecken bearbeitet werden dürfen. Schliesslich lässt sich ein überwiegendes privates oder öffentliches Interesse der Firma x im Sinne von Art. 13 Abs. 2 DSG nicht feststellen. Die durch die CD-ROM ermög- lichte Datenbearbeitung ist demzufolge rechtswidrig.
DDD 6st qqvrr @ ttrrsvruyqr @vqtrvpur9hr puirhs htr)
Die Firma x hat die Produktion und den Vertrieb der CD-ROM definitiv einzu- stellen.
Tätigkeitsbericht 1996/1997 des EDSB 114
Die Firma x benachrichtigt den Eidgenössischen Datenschutzbeauftragten innerhalb von 30 Tagen, ob sie die Empfehlung ablehnt oder nicht. Wird die Empfehlung abgelehnt oder stellt der Eidgenössische Datenschutzbeauftragte nach Ablauf der Frist fest, dass sie nicht eingehalten wird, so kann er die An- gelegenheit gemäss Art. 29 Abs. 4 DSG der Eidgenössischen Datenschutz- kommission zum Entscheid vorlegen.
@D9B@IJTTDT8C@S 96U@IT8CVUa7@6VAUS6BU@S
O. Guntern
6.3. Empfehlung über die Rufnummernanzeige im Dienstintegrierenden Digitalen Netz (ISDN)
Bern, 13. März 1996
@HQA@CGVIB
tr
6 !&6i#7qrtrrEir qr9hrpu (Ev ((!9TB
vThpur
Ssr hrvtrv9vrrvrt vr rqr9vtvhyrIrDT9I
D 9r @vqtrvpur9hrpuirhs htrryysr)
Im Diensteintegrierenden Digitalen Netz (ISDN) wird die Rufnummer des An- rufenden auf dem Display des über ein ISDN-Abonnement verfügenden Ange- rufenen noch vor Entgegennahme des Anrufs angezeigt.
Die einzelfallweise, d. h. pro Anruf per Knopfdruck vornehmbare Unterdrü- ckung der Rufnummernanzeige durch den Anrufenden ist in der Ausbauphase SwissNet3 möglich, sofern der Anrufende über ein ISDN-Abonnement verfügt; für diese einzelfallweise Unterdrückung der Rufnummernanzeige hat der An- rufende jedoch eine einmalige Gebühr zu entrichten.
Die Anzeige der Rufnummer des von einem analogen Apparat ausgehenden Anrufs, der über eine digitale Telefonzentrale vermittelt wird, kann permanent, das heisst auf Dauer, gegen Entrichtung einer einmaligen Einrichtungsgebühr und einer monatlichen Abonnementsgebühr unterdrückt werden.
Über die Möglichkeit der Rufnummernübertragung im SwissNet/ISDN und der Rufnummernunterdrückung informiert die PTT Telecom lediglich im PTT- Amtsblatt sowie teilweise regional.
Mit Schreiben vom 17. Februar 1995 ist die PTT Telecom aufgefordert wor- den,
• die Unterdrückung der Rufnummernanzeige kostenlos anzubieten,
• in den Verzeichnissen die ISDN-Anschlüsse zu kennzeichnen, damit der Anrufende weiss, dass eine Rufnummern-Übertragung in Betracht kommt,
• sowie alle Telefonabonnenten schriftlich zu informieren, dass ihre Ruf- nummer bei ISDN-Teilnehmern angezeigt werden kann und dass die Mög- lichkeit zur Unterdrückung der Rufnummernanzeige besteht.
Tätigkeitsbericht 1996/1997 des EDSB 116
Diese Forderungen wurden erneut im 2. Tätigkeitsbereicht 1994/1995 des Eidgenössischen Datenschutzbeauftragten Seite 27 f. vertreten.
Seitens der PTT Telecom wurde kein Kontakt mit dem Eidgenössischen Da- tenschutzbauftragten gesucht.
Die PTT Telecom hat unseren Forderungen bis jetzt nicht entsprochen und will ihnen gemäss Schreiben vom 23. Februar 1996 auch nicht entsprechen.
DD 9r @vqtrvpur9hrpuirhs htrvruv@ tt)
Die Rufnummernanzeige stellt ein Bearbeiten von Personendaten im Sinne des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1) dar, woraus sich die Legitimation des Eidgenössischen Datenschutz- beauftragten zum Erlass einer Empfehlung gemäss Art. 27 Abs. 4 DSG ergibt.
Jede Person muss, ausgehend von der Achtung der Persönlichkeits- und Grundrechte, insbesondere der persönlichen Freiheit, die Herrschaft über die sie betreffenden Informationen ausüben und eine Bearbeitung dieser Daten durch Dritte einschränken können (BUNTSCHU, Kommentar zum Schweizeri- schen Datenschutzgesetz (Hrsg. Maurer/Vogt), Basel/Frankfurt a. M. 1994, Art. 1 Rdn. 14).
Jeder einzelne sollte nicht nur in der Lage sein, einen Überblick über die Be- arbeitung seiner Personendaten zu behalten, sondern auch als Ausfluss aus seinem Recht auf persönliche Freiheit das Recht auf informationelle Selbst- bestimmung auszuüben, das durch das Bundesgesetz über den Datenschutz vom 19. Juni 1992 seine positivrechtliche Anerkennung erfahren hat (BUNTSCHU a.a.O. Rdn. 14, 17).
Aus dem Recht auf informationelle Selbstbestimmung sowie dem mit diesem in engem Zusammenhang stehende, durch Art. 36 Bundesverfassung garan- tierte Fernmeldegeheimnis folgt das Recht jedes einzelnen auf unbeobachtete Kommunikation.
Diese Rechte werden grundsätzlich durch die Rufnummernanzeige verletzt, weil
• der Angerufene (beispielsweise Behörde) bei missliebigen, etwa zu Recht reklamierenden Personen die Entgegennahme des Anrufes unzulässiger- weise verweigern kann,
• durch den Einsatz entsprechender Software der Angerufene innerhalb von Bruchteilen von Sekunden noch vor Entgegennahme des Anrufes ohne Kenntnis und Einwilligung des Anrufenden dessen Name und Adresse he- rausfinden und speichern kann,
• bereits durch die Rufnummernanzeige, erst recht aber bei Verwendung entsprechender Software auch Drittpersonen ohne Kenntnis und Einwilli- gung des Anrufenden erfahren können, wer angerufen hat;
• bei Inanspruchnahme von gewissen Hilfsorganisationen wie Anonyme Al- koholiker, AIDS-Hilfe, Kinder-Sorgentelefon, Seelsorge die Anonymität des Anrufenden nicht gewährleistet wäre.
• für alle Telekommunikationsabonnenten die Möglichkeit besteht, die Ruf- nummernanzeige zu unterdrücken,
• jeder Telekommunikationsabonnent auf die Rufnummernübertragung und auf die Möglichkeit zur Unterdrückung in einer für ihn wahrnehmbaren und verständlichen Art und Weise hingewiesen wird,
• den Abonnenten keine Gebühren als Hemmschwelle von der Wahrung sei- ner Rechte, die bis zur Einführung von ISDN selbstverständlich und kosten- los war, abhalten.
Ein Eingriff in diese Rechte wäre nur aufgrund einer ausdrücklichen hinrei- chenden gesetzlichen Grundlage zulässig, da es sich um Grundrechte han- delt, die bis anhin gewährleistet waren.
Die PTT Telecom informieren ihre Kunden, die nicht über ein SwissNet/ISDN- Abonnement verfügen, nicht in einer einheitlichen, für alle Telekommunikati- onsteilnehmer gleich verständlichen und einfachen Form über die Folgen von SwissNet/ISDN sowie die Möglichkeit der Unterdrückung der Rufnummernan- zeige, so dass die für die Wahrung der Rechte erforderliche allgemeine Infor- mation und Transparenz nicht gewährleistet ist.
Die gebührenfreie Unterdrückung, d.h. die Unterdrückung ohne "Hemm- schwelle" (vgl. Schreiben PTT Telecom vom 23. Februar 1996) wird seitens der PTT Telecom abgelehnt, um auf dem Markt unter Missachtung der Rechte eines Grossteils ihrer Kunden SwissNet/ISDN zu lancieren.
Die Tatsache, dass bis Ende Dezember 1995 nur gerade
• 633 von 69' 500 SwissNet-Kunden, also < 1%, und
• 1650 von 4,3 Mio analogen Teilnehmern
den Dienst "Identifikation unterdrücken" abonniert haben, spricht dafür, dass durch die Möglichkeit der gebührenfreien Unterdrückung weder den PTT Te- lecom ein grosser finanzieller Verlust beschieden wäre, noch das Produkt SwissNet/ISDN auf dem Markt bedroht wäre.
Da die PTT Telecom durch Einführung von SwissNet/ISDN die Rufnummern- anzeige und damit den Eingriff in die Persönlichkeitsrechte von Kunden verur- sacht hat, ist es verursachergerecht und verhältnismässig, wenn die PTT Te- lecom die aus der Möglichkeit der Unterdrückung der Rufnummernanzeige entstehenden Kosten trägt und diese nicht auf die Kunden abwälzt.
Tätigkeitsbericht 1996/1997 des EDSB 118
Auch ist die Unterdrückung der Rufnummernanzeige bei Anrufen, die von analogen Apparaten ausgehen, nicht absolut unmöglich.
Die Empfehlung Nr. R (95)4 des Ministerkommitees des Europarates regelt
• unter Punkt. 7.16. Abs. 1, dass die Einführung der Rufnummernanzeige von Informationen an alle Abonnenten mit der Angabe begleitet sein sollte, dass verschiedene Abonnenten über die Rufnummernanzeige verfügen können und es deshalb möglich ist, dass die Telefonnummer dem Angeru- fenen enthüllt wird. • unter Punkt 7.16. Abs. 2, dass die Einführung der Rufnummernanzeige für den anrufenden Abonnenten von der Möglichkeit begleitet sein muss, durch ein einfaches Mittel die Anzeige seiner Telefonnummer auf dem Endgerät des angerufenen Abonnenten zu unterdrücken.
• unter Art. 8 Punkt 1 vorgesehen, dass im Falle der Rufnummernanzeige der anrufende Teilnehmer die Möglichkeit haben muss, auf einfache Weise die Übertragung seiner Teilnehmernummer von Fall zu Fall auszuschlies- sen;
• unter Art. 8 Punkt 2 vorgesehen, dass der Anrufende die Möglichkeit haben muss, auf Antrag die Rufnummernanzeige permanent zu unterdrücken;
• unter Artikel 8 Punkt 5 vorgesehen, dass die Option der Unterdrückung der Rufnummernanzeige kostenfrei angeboten werden muss.
DDD 6st qqvrr @ ttrrsvruyqr @vqtrvpur9hr puirhs htr)
PTT Telecom bietet die fallweise Unterdrückung der Rufnummernanzeige auch von analogen Apparaten aus an.
Die PTT Telecom bietet die Unterdrückung der Rufnummernanzeige kosten- los an.
Die PTT Telecom weist jeden Telekommunikationsabonnenten in einem Schreiben auf die Rufnummernanzeige im SwissNet/ISDN sowie auf die Mög- lichkeit der Rufnummernunterdrückung hin.
In den Telekommunikationsverzeichnissen werden bei jedem ISDN-Anschluss ein für die Verzeichnis-Benutzer verständlicher Hinweis angebracht, dass eine Rufnummernanzeige in Betracht kommt.
Die PTT Telecom teilt bis zum 15. April 1996 dem Eidgenössischen Daten- schutzbeauftragten mit, ob sie diese Empfehlung annimmt oder ablehnt.
Tätigkeitsbericht 1996/1997 des EDSB 119
Diese Empfehlung wird der PTT Telecom sowie dem Generalsekretariat des EVED mitgeteilt.
@D9B@IJTTDT8C@S 96U@IT8CVUa7@6VAUS6BU@S
O. Guntern