Das war das Datenschutzjahr 2015/16

Der Datenschützer hat im vergangenen Jahr nicht nur der SBB auf die Finger geklopft. Bedenken und offene Datenschutzfragen gab es auch im Zusammenhang mit dem überarbeiteten E-Banking-Portal der Postfinance, dem elektronischen Patientendossier und Windows 10.
 
Der Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte (EDÖB) und sein Team haben sich im vergangenen Jahr unter anderem mit der SBB, der Postfinance sowie mit dem elektronischen Patientendossier befasst, wie aus dem jährlich publizierten Tätigkeitsbericht hervorgeht. Der Bericht umfasst die Tätigkeiten des Datenschützers von April 2015 bis Ende März 2016 und ist somit der letzte, der mehrheitlich unter der Federführung von Hanspeter Thür entstanden ist. Thür ist per Ende November 2015 von seinem Amt zurückgetreten. Auf ihn folgt der ehemalige stellvertretende Direktor des Bundesamts für Polizei (fedpol), Adrian Lobsiger.
 
Bei der Postfinance untersuchte der EDÖB im Rahmen der Neuerungen beim E-Banking insbesondere die Bearbeitung von Kundendaten sowie den de facto Zwang, neue Nutzungsbedingungen zu akzeptieren.
 
Postfinance hat mit der neuen E-Banking-Plattform ein Tool, E-Cockpit, eingeführt, mit dem jede Transaktion eines Kunden automatisch einer bestimmten Kategorie zugeteilt wird. Zudem will Postfinance den Kunden aufgrund ihrer Transaktionen Werbeangebote von Dritten anzeigen. Eine nachträgliche Abmeldung für Werbeangebote war vorgesehen, das E-Cockpit aber sollte zwingend im E-Banking integriert sein. Im Rahmen dessen gab es neue Nutzungsbedingungen, die die Kunden annehmen mussten, um das online Banking weiterhin nutzen zu können.
 
Es wurde erreicht, so der Bericht, dass Kunden nun doch die Möglichkeit erhalten, die Datenbearbeitung beim E-Cockpit zu deaktivieren und die bereits kategorisierten Daten zu löschen. Was die Werbeangebote von Dritten betrifft, wird Postfinance die Einwilligung bei denjenigen Kunden, die den neuen Teilnahmebestimmungen bereits vor den Anpassungen zugestimmt haben, nochmals einholen. Der EDÖB hält fest, dass die Bank mit den Nachbesserungen den datenschutzrechtlichen Pflichten nachkommt. Die Umsetzung der Massnahmen wolle man aber zu einem späteren Zeitpunkt überprüfen.
 
Mängel beim Patientendossier
Das Bundesgesetz über das elektronische Patientendossier (EPDG) tritt ab Mitte 2017 in Kraft. Hier nimmt der EDÖB unter anderem zum Datenschutzrecht sowie zu den Zugangsberechtigungen Stellung. Der Datenschützer bemängelt etwa, dass bei den Zertifizierungsvoraussetzungen der Fokus zu stark auf die Datensicherheit gerichtet ist und die Aspekte des Datenschutzes zu wenig berücksichtigt werden. Daneben wird verlangt, dass Patienten anhand von Protokolldaten erkennen können, wer auf ihr E-Patientendossier zugreifen kann. Dies sei insbesondere deshalb wichtig, weil auch Hilfspersonen von Fachkräften Zugriff auf das Patientendossier erhalten sollen, wodurch sich der Kreis der Zugriffsberechtigten nochmals vergrössert, so der Bericht.
 
SBB sammelt(e) zu viele Daten
Im vergangenen Jahr gab auch die Einführung des Swiss Pass der SBB Grund zur Diskussion. Der EDÖB kam zum Schluss, dass die bei den Fahrscheinkontrollen durchgeführten Datenbearbeitungen weder verhältnismässig waren noch auf einer genügenden gesetzlichen Grundlage beruhten. Konkret geht es um die "Kontrolldatenbank". Darin wurden laut EDÖB bei jeder Kontrolle die Uhrzeit, die Zug- beziehungsweise Kursnummer und die Ausweisnummer des Swiss Pass eingetragen und während 90 Tagen gespeichert. Die Empfehlung des EDÖB war, die Kontrolldaten zu löschen und die Datenbank nicht weiterzuführen. Im Februar diesen Jahres ist die SBB dieser Empfehlung nachgekommen.
 
Zudem untersuchte der Datenschützer die Nutzungsbedingungen und gespeicherten Daten bei der Verwendungen des gratis Internetangebots "SBB-free" bei der SBB. Auch in diesem Zusammenhang rügte der EDÖB die Datensammlung und -speicherung. Nach einer Untersuchung machte der EDÖB zwei Empfehlungen, die beide die Datenbearbeitung im Zusammenhang mit dem BÜPF (Gesetz zur Überwachung des Post- und Fernmeldeverkehrs) betrafen. Zum einen sollte die SBB nur noch diejenigen Kundendaten bearbeiten, die effektiv unter das BÜPF fallen und insbesondere die Daten "Ziel IP Adresse" und "Ziel Port" nicht mehr erheben. Zudem verlangte man, die Nutzungs- und Randdaten nur so lange wie im Gesetz vorgesehen, nämlich sechs und nicht neun Monate, aufzubewahren.
 
Letztere Empfehlung nahm die SBB an. Erstere nicht und zwar unter dem Einwand, der Dienst für die Überwachung des Post- und Fernmeldeverkehrs (Dienst ÜPF) habe dringend geraten, diese Daten für die Strafverfolgungsbehörden weiterhin zu speichern. Laut EDÖB fallen diese Daten hingegen nicht unter das Gesetz. Aufgrund der laufenden Revision des BÜPF sieht der Datenschützer momentan davon ab, diesen Punkt durch die Behörden beurteilen zu lassen.
 
Der rund 100 Seiten umfassende Bericht erläutert zudem Tätigkeiten des Datenschutzbeauftragten in Zusammenhang mit der Revision des Bundesgesetzes zur Überwachung des Post- und Fernmeldeverkehrs (BÜPF), das revidierte Bundesgesetz über den Nachrichtendienst, die Datenbearbeitung von Microsoft im Zusammenhang mit Windows 10 und weiteres. (kjo)