Das war das Datenschutzjahr 2015/16

27. Juni 2016, 12:54
image

Der Datenschützer hat im vergangenen Jahr nicht nur der SBB auf die Finger geklopft.

Der Datenschützer hat im vergangenen Jahr nicht nur der SBB auf die Finger geklopft. Bedenken und offene Datenschutzfragen gab es auch im Zusammenhang mit dem überarbeiteten E-Banking-Portal der Postfinance, dem elektronischen Patientendossier und Windows 10.
Der Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte (EDÖB) und sein Team haben sich im vergangenen Jahr unter anderem mit der SBB, der Postfinance sowie mit dem elektronischen Patientendossier befasst, wie aus dem jährlich publizierten Tätigkeitsbericht hervorgeht. Der Bericht umfasst die Tätigkeiten des Datenschützers von April 2015 bis Ende März 2016 und ist somit der letzte, der mehrheitlich unter der Federführung von Hanspeter Thür entstanden ist. Thür ist per Ende November 2015 von seinem Amt der ehemalige stellvertretende Direktor des Bundesamts für Polizei (fedpol), Adrian Lobsiger.
Bei der Postfinance untersuchte der EDÖB im Rahmen der Neuerungen beim E-Banking insbesondere die Bearbeitung von Kundendaten sowie den de facto Zwang, neue Nutzungsbedingungen zu akzeptieren.
Postfinance hat mit der neuen E-Banking-Plattform ein Tool, E-Cockpit, eingeführt, mit dem jede Transaktion eines Kunden automatisch einer bestimmten Kategorie zugeteilt wird. Zudem will Postfinance den Kunden aufgrund ihrer Transaktionen Werbeangebote von Dritten anzeigen. Eine nachträgliche Abmeldung für Werbeangebote war vorgesehen, das E-Cockpit aber sollte zwingend im E-Banking integriert sein. Im Rahmen dessen gab es neue Nutzungsbedingungen, die die Kunden annehmen mussten, um das online Banking weiterhin nutzen zu können.
Es wurde erreicht, so der Bericht, dass Kunden nun doch die Möglichkeit erhalten, die Datenbearbeitung beim E-Cockpit zu deaktivieren und die bereits kategorisierten Daten zu löschen. Was die Werbeangebote von Dritten betrifft, wird Postfinance die Einwilligung bei denjenigen Kunden, die den neuen Teilnahmebestimmungen bereits vor den Anpassungen zugestimmt haben, nochmals einholen. Der EDÖB hält fest, dass die Bank mit den Nachbesserungen den datenschutzrechtlichen Pflichten nachkommt. Die Umsetzung der Massnahmen wolle man aber zu einem späteren Zeitpunkt überprüfen.
Mängel beim Patientendossier
Das Bundesgesetz über das elektronische Patientendossier (EPDG) tritt ab Mitte 2017 in Kraft. Hier nimmt der EDÖB unter anderem zum Datenschutzrecht sowie zu den Zugangsberechtigungen Stellung. Der Datenschützer bemängelt etwa, dass bei den Zertifizierungsvoraussetzungen der Fokus zu stark auf die Datensicherheit gerichtet ist und die Aspekte des Datenschutzes zu wenig berücksichtigt werden. Daneben wird verlangt, dass Patienten anhand von Protokolldaten erkennen können, wer auf ihr E-Patientendossier zugreifen kann. Dies sei insbesondere deshalb wichtig, weil auch Hilfspersonen von Fachkräften Zugriff auf das Patientendossier erhalten sollen, wodurch sich der Kreis der Zugriffsberechtigten nochmals vergrössert, so der Bericht.
SBB sammelt(e) zu viele Daten
Im vergangenen Jahr gab auch die Einführung des Swiss Pass der SBB Grund zur Diskussion. Der EDÖB kam zum Schluss.
Zudem untersuchte der Datenschützer die Nutzungsbedingungen und gespeicherten Daten bei der Verwendungen des gratis Internetangebots "SBB-free" bei der SBB. Auch in diesem Zusammenhang rügte der EDÖB die Datensammlung und -speicherung. Nach einer Untersuchung machte der EDÖB zwei Empfehlungen, die beide die Datenbearbeitung im Zusammenhang mit dem BÜPF (Gesetz zur Überwachung des Post- und Fernmeldeverkehrs) betrafen. Zum einen sollte die SBB nur noch diejenigen Kundendaten bearbeiten, die effektiv unter das BÜPF fallen und insbesondere die Daten "Ziel IP Adresse" und "Ziel Port" nicht mehr erheben. Zudem verlangte man, die Nutzungs- und Randdaten nur so lange wie im Gesetz vorgesehen, nämlich sechs und nicht neun Monate, aufzubewahren.
Letztere Empfehlung nahm die SBB an. Erstere nicht und zwar unter dem Einwand, der Dienst für die Überwachung des Post- und Fernmeldeverkehrs (Dienst ÜPF) habe dringend geraten, diese Daten für die Strafverfolgungsbehörden weiterhin zu speichern. Laut EDÖB fallen diese Daten hingegen nicht unter das Gesetz. Aufgrund der laufenden Revision des BÜPF sieht der Datenschützer momentan davon ab, diesen Punkt durch die Behörden beurteilen zu lassen.
Der rund 100 Seiten umfassende Bericht und weiteres. (kjo)

Loading

Mehr zum Thema

image

Threema nun auch für die Schweizer Polizei

Die Konferenz der kantonalen Polizeikommandanten beschafft die verschlüsselte Schweizer Whatsapp-Allternative "freihändig" für alle Polizeiorganisationen. IMP von Abraxas wird abgelöst.

publiziert am 20.5.2022
image

Gemeinden wollen mit digitaler Kompetenz Bürgervertrauen schaffen

Der Schweizerische Gemeindeverband wünscht sich mehr Zusammenarbeit zwischen Bund und Kantonen. Nur so könnten die Gemeinden smart und digital werden.

publiziert am 20.5.2022
image

EFK-Direktor kritisiert "IT-Beziehung" zwischen Bund und Kantonen

In ihrem Jahresbericht weist die Finanzkontrolle nochmals explizit auf die "unkontrollierte Entwicklung" der E-Gov-Portale hin. Auch andere IT-Projekte hat sie stark kritisiert.

publiziert am 20.5.2022
image

Online-Ads: Nutzer-Daten werden Milliarden Mal pro Tag verarbeitet

Eigentlich weiss man es: Beim Besuch einer Website werden eine Menge Informationen verfolgt und geteilt. Ein Bericht verdeutlicht nun, wie häufig dies geschieht und stellt die Frage: Ist das legal?

publiziert am 20.5.2022