Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch
Empfehlung
vom
Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
vom
vom 4. Januar 2016
gemäss Artikel 27 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1)
betreffend die Kontrolle
in Sachen SwissPass
des Verbands öffentlicher Verkehr (VöV) und der SBB AG
2/6
I. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest: Seit dem 1. August 2015 werden alle General- und Halbtaxabonnemente laufend durch den SwissPass ersetzt. Zusätzlich bietet der SwissPass Zugang zu Partnerdiensten (wie Mobility Carsharing, Publibike, SchweizMobil, einige Skigebiete). In den Medien wird immer wieder über den SwissPass berichtet, wobei vor allem die Befürchtung ausgesprochen wird, dass aus den Kontrolldaten Bewegungsprofile erstellt werden könnten. Der EDÖB hat viele Anfragen besorgter Bürger und Medien erhalten und musste oft klarstellen, dass er das Projekt weder genehmigt noch bewilligt hat. Auf Bundesebene gab es zudem im Parlament verschiedene Vorstösse betreffend den SwissPass. Mit dem SwissPass samt Partnerdiensten werden die Personendaten einer sehr grossen Anzahl Personen bearbeitet. In diesem Zusammenhang stellen sich auch viele datenschutzrechtliche Fragen. Der EDÖB entschied, eine Sachverhaltsabklärung betreffend den SwissPass und die damit verbundenen Datenbearbeitungen durchzuführen. Zweck dieser Sachverhaltsabklärung ist es zu prüfen, ob mit dem SwissPass, insbesondere mit der Kontrolldatenbank, die datenschutzrechtlichen Voraussetzungen eingehalten werden.
Der EDÖB führt seine Kontrollen gestützt auf das DSG als unabhängige Datenschutzaufsichtsbehörde durch (vgl. Art. 27 DSG). Bei der Abklärung kann er Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen. Die Bundesorgane müssen an der Feststellung des Sachverhaltes mitwirken. Gemäss Personenbeförderungsgesetz (PBG; SR 745.1) unterstehen die Unternehmen für ihre konzessionierten und bewilligten Tätigkeiten einerseits, sowie wenn sie privatrechtlich handeln andererseits, dem DSG. Die Aufsicht unterliegt dabei dem EDÖB und richtet sich nach Art. 27 DSG, der Beaufsichtigung über Bundesorgane (vgl. 54 PBG).
Der EDÖB hat seine Feststellungen und Schlussfolgerungen zu dieser Kontrolle in seinem Schlussbericht vom 4. Januar 2016 betreffend seine Kontrolle in Sachen SwissPass des Verbands öffentlicher Verkehr (VöV) und der SBB AG festgehalten. In diesem Bericht wurde auch dargelegt, weshalb sowohl der VöV als auch die SBB AG als gemeinsame Dateninhaber betrachtet werden und somit Empfänger der vorliegenden Empfehlung sind. Das vorliegende Papier stützt sich auf den vorgenannten Schlussbericht und fasst die dort enthaltene Empfehlung zusammen und gilt als formelle Empfehlung gemäss Art. 27 Abs. 4 DSG.
II. Erwägungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten:
Ausgangslage: Der SwissPass dient der Refenzierung von öV-Leistungen (General- und Halbtaxabonnement) und/oder Partnerleistungen. In Zusammenhang mit dem SwissPass werden somit Personendaten im Sinne des DSG bearbeitet. Die Aufsicht richtet sich nach Art. 27 DSG, der Bestimmung über die Aufsicht über Bundesorgane (vgl. Art. 54 Abs. 1 und 3 PBG). Gemäss Art 27 Abs. 1, 1. Satz DSG überwacht der Beauftragte die Einhaltung dieses Gesetzes und der übrigen Datenschutzvorschriften des Bundes durch die Bundesorgane. Ergibt die Abklärung, dass Datenschutzvorschriften verletzt werden, so empfiehlt der Beauftragte dem verantwortlichen Bundesorgan, das Bearbeiten zu ändern oder zu unterlassen. Er orientiert das zuständige Departement oder die Bundeskanzlei über seine Empfehlung (Art. 27 Abs. 4 DSG).
3/6
Sachverhalt Der SwissPass kann an jeder bedienten Verkaufsstelle des öV gekauft werden. Bei der Bestellung des SwissPass übermittelt der Kunde die benötigten Personendaten, nämlich Name, Vorname, Adresse, Geburtsdatum, E-Mail-Adresse (fakultativ), Telefonnummer (fakultativ), Foto. Diese Kundendaten werden unmittelbar nach dem Kauf in die zentrale Kunden- und Abonnementsdatenbank (KUBA) eingetragen. Gemäss den AGB können diese zu Marketingzwecken benutzt werden. Der Kunde kann jederzeit formlos festhalten, dass seine Daten nicht zu Marketingzwecken benutzt werden sollen. So kann das Opt-out direkt am Schalter (an jeder bedienten Verkaufsstelle) oder telefonisch oder per Mail an den SBB Contact Center geltend gemacht werden. Auf der Online-Plattform von SwissPass (www.swisspass.ch) kann sich der Kunde oder die Kundin einloggen und das Opt-out für den Erhalt von SwissPass-Newslettern anbringen.
Bei den Kontrollen benützt das Zugbegleitpersonal ein Lesegerät. Dieses enthält eine lokale Kopie der in KUBA enthaltenen Abonnementsdaten (Teilsystem KUBA). Diese Kopie wird in regelmässigen Abständen aktualisiert (bei der SBB alle 5 Minuten).
Das Zugbegleitpersonal identifiziert sich auf dem Lesegerät mittels Benutzernamen und Passwort. Gleichzeitig gibt es an, in welchem Zug und in welcher Klasse (1. oder 2. Klasse) er/sie sich befindet.
Beim Kontrollvorgang legt das Zugbegleitpersonal das Lesegerät auf den SwissPass um diesen zu scannen. Dabei liest das Lesegerät die auf dem RFID-Chip A gespeicherte MedienID und referenziert diese auf die im Lesegerät lokal gespeicherten abonnierten Leistungen. Wenn eine Übereinstimmung gefunden wurde, werden Name, Vorname, Geburtsdatum, Geschlecht, Kundennummer, sowie Art des Abonnements und dessen Gültigkeit (gültig, teilgültig, ungültig) auf dem Bildschirm des Lesegerätes angezeigt. Ist ein Abonnement gültig, erscheint das Wort auf grünem Hintergrund, ist es ungültig, auf rotem Hintergrund.
Wenn das Zugbegleitpersonal einen Zweifel zur Identität der kontrollierten Person hat (das auf der Karte aufgedruckte Foto hat eine tiefe Auflösung), kann es online auf die Datenbank zugreifen und das Foto auf sein Lesegerät laden (= Kundensuche). Gleichzeitig wird auch die letzte durch das Transportunternehmen durchgeführte Kontrolle mit Datum, Zeit und Angabe des Transportunternehmens auf dem Bildschirm angezeigt. Diese Angabe wird benötigt um allfällige Missbräuche zu verhindern (wenn beispielsweise zwei Personen im gleichen Zug dieselbe Karte benützen). Kontrollen, die durch andere Transportunternehmen erfolgten, werden nicht aufgezeigt. Auf dem Bildschirm des Lesegeräts wird zudem speziell signalisiert, wenn ein SwissPass innerhalb von XX1 Minuten zum zweiten Mal kontrolliert wird.
Die Kontrolldaten werden anschliessend in die Kontrolldatenbank hochgeladen und dort während 90 Tagen aufbewahrt.
Die genaue Datenbearbeitung hat der EDÖB in seinem vorgenannten Schlussbericht vom 4. Januar 2016 umschrieben. Darauf wird nachfolgend, soweit nötig, eingegangen.
1 Die Schwärzung erfolgt aus Sicherheitsgründen. http://www.swisspass.ch/
4/6
Bearbeitung der Kontrolldaten
Die Kontrolldaten werden nach der Kontrolle in die Kontrolldatenbank hochgeladen und dort während 90 Tagen aufbewahrt (vgl. Ziff. 2.2.1 und 2.4 des Schlussberichts vom 04.01.16). Unbestritten ist, dass Transportunternehmen überprüfen dürfen, ob Reisende einen gültigen Reiseausweis besitzen (Art. 16 i.V.m. 20 PBG). Zu prüfen ist jedoch, ob die in Zusammenhang mit dem SwissPass eingeführte Aufbewahrung der Daten in der Kontrolldatenbank während 90 Tagen datenschutzrechtlich zulässig ist.
1. Verhältnismässigkeit Die Bearbeitung von Personendaten muss verhältnismässig sein (vgl. Art. 4 Abs. 2 DSG). Verhältnismässigkeit liegt vor, wenn nur diejenigen Daten bearbeitet werden, die für den verfolgten Zweck unbedingt nötig und geeignet sind. Nicht mehr benötigte Daten sind zu löschen. So wird auch in der Literatur festgehalten, dass ein Datenbearbeiter nur diejenigen Daten beschaffen und bearbeiten darf, die er für einen bestimmten Zweck objektiv tatsächlich benötigt und die mit Blick auf den Bearbeitungszweck und die Persönlichkeitsbeeinträchtigung in einem vernünftigen Verhältnis stehen (vgl. Urs Maurer-Lambrou/Andrea Steiner in Maurer- Lambrou/Blechta, BSK Kommentar Datenschutzgesetz, 3. Auflage, Helbing Lichtenhahn Verlag, Art. 4, N. 11 mit Hinweisen).
In der Kontrolldatenbank werden unter anderem die Uhrzeit, Zug-/Kursnummer und die Verknüpfung zur SwissPass-Ausweisnummer gespeichert. Auch wenn nicht aufgeführt wird, von wo bis wo eine Person gereist ist, kann nicht ausgeschlossen werden, dass aufgrund der Kontrollzeitpunkte eruiert werden kann, an welchen Bahnhöfen eine Person ein- und/oder ausgestiegen ist. Aufgrund der Aufbewahrung von 90 Tagen kann zudem nicht ausgeschlossen werden, dass dabei bei bestimmten Personen ein, wenn auch nicht detailliertes, Bewegungsprofil entstehen kann (z.B. immer nur Kontrollen zwischen Bern und Zürich). Bei einer solchen Persönlichkeitsbeeinträchtigung ist der Grundsatz der Verhältnismässigkeit besonders sorgfältig zu prüfen.
Gemäss Angaben des VöV und der SBB dient die Kontrolldatenbank dazu, allfällige Kundenanliegen im Nachgang zu einer Reise zu beantworten. Es wurden verschieden Gründe und Beispiele aufgeführt (vgl. Ziff. 2.4 des Schlussberichts vom 04.01.16). Diese werden nachfolgend geprüft. Zunächst ist darauf hinzuweisen, dass bei Reisenden ohne gültigen Fahrausweis nur dann Kontrolldaten in die hier beschriebene Kontrolldatenbank übertragen werden können, wenn die betroffene Person einen SwissPass vorweist. Ohne SwissPass-Karte können die Daten nicht vom Lesegerät gelesen und in die Kontrolldatenbank übermittelt werden. Abgesehen davon wird bei Reisenden ohne gültigen Fahrausweis in der Regel ein separates Formular (Formular 7000 „Reisende ohne gültigen Fahrausweis“ oder internes Formular eines Transportunternehmens) ausgefüllt, auf welchem auch der Zeitpunkt der Kontrolle aufgeführt ist. So sieht auch der vom Parlament verabschiedete aber noch nicht in Kraft getretene2 Art. 20a Abs. 2 Bst. c PBG vor, dass bei Reisenden ohne gültigen Fahrausweis der Zeitpunkt der Erhebung des Zuschlags erhoben werden kann (vgl. AS 2015 3205 f.). Der VöV führt weder aus, weshalb genau es nötig ist, die Daten für Reisende ohne gültigen Fahrausweis in der Kontrolldatenbank aufzubewahren, noch wie damit Missbrauchsfälle entdeckt werden können. Zu beachten ist, dass in der Kontrolldatenbank die Daten sämtlicher Reisender, somit auch von solchen mit einem voll gültigen Fahrausweis, aufbewahrt werden. Dieser vom VöV aufgeführte Grund erweist sich somit als nicht stichhaltig.
2 Art. 20a PBG ist am 1. Januar 2016 in Kraft getreten.
5/6
Aber auch die anderen vom VöV aufgeführten Gründe überzeugen nicht. So wird das Zugbegleitpersonal während der Kontrolle merken, ob sein Gerät bei allen Karten funktioniert und auf die Abonnementsdaten zugreifen kann oder nicht und eine allfällige Störung sofort melden können. Fälle, in denen eine Karte trotz Beendung der Hinterlegung als hinterlegt erscheinen kommen sicher sehr selten vor und können einzelfallweise ohne Kontrolldatenbank gelöst werden3. Der VöV führt nicht weiter aus, weshalb die Kontrolldatenbank bei der Analyse von System- und Betriebsausfällen, die voraussichtlich vor allem den Zugriff auf Abonnementsdaten (KUBA) betreffen, nötig ist. In den in Z. 12.000 und 12.001 T600.9 aufgeführten Fällen sollte eine Rückerstattung ohne Kontrolldaten möglich sein. Auch wenn ein Reisender/eine Reisende die Rückerstattung aufgrund einer Nichtbenützung infolge Krankheit oder Unfall erst nachträglich verlangt, erübrigt sich ein Zugriff auf die Kontrolldatenbank, da in diesen Fällen ein entsprechendes Arztzeugnis beizubringen ist (vgl. Z. 60.005 T600.9). Im Zeitpunkt der Kontrolle vor Ort (mehr als 2 ½ Monate nach Einführung des SwissPass) waren, wie erwähnt, abgesehen für die Behandlung von zwei Auskunftsgesuchen, keine Zugriffe auf die Kontrolldatenbank nötig gewesen. Auch das UVEK hat in seiner Stellungnahme vom 21. September 2015 an die Präsidentin und den Präsidenten der Kommissionen für Verkehr und Fernmeldewesen betreffend die Petition 15.2018 festgehalten, dass aus den Datenschutzbestimmungen nicht klar hervorgehe, dass eine personalisierte Auswertung der Kontrolldaten ausgeschlossen sei. Dadurch, dass überhaupt gespeichert werde, in welchem Zug ein Reisender kontrolliert wurde, entstehe aber zumindest die Gefahr, dass solche Daten missbräuchlich personalisiert verwendet werden könnten. Schliesslich ist noch darauf hinzuweisen, dass in Zusammenhang mit den Fragen des EDÖB zum Regelwerk Datennutzung die SBB ausdrücklich festhielt, auf die ursprünglich vorgesehene Analyseoption der Kontrolldaten in pseudonymisierter Form verzichtet zu haben (vgl. Ziff. 2.4 des Schlussberichts vom 04.01.16). Daraus folgt, dass die Aufbewahrung der Kontrolldaten in der Kontrolldatenbank weder nötig noch geeignet und somit unverhältnismässig ist. Wie erwähnt kann zudem nicht ausgeschlossen werden, dass in der Kontrolldatenbank Bewegungsprofile entstehen. Dabei ist irrelevant, dass die Aufbewahrung in verschlüsselter Form erfolgt und nur ein kleiner Kreis von Anwendern Zugriff auf die Daten hat.
2. Rechtmässigkeit Unabhängig davon stellt sich auch die Frage der Rechtmässigkeit der Aufbewahrung der Kontrolldaten. Wie im Schreiben des VöV vom 30. Oktober 2015 festgehalten wurde, handeln die Transportunternehmen in Zusammenhang mit den Kontrolldaten als Bundesorgan. Folglich müssten die Führung der Kontrolldatenbank und das Informationssystem selbst in einer gesetzlichen Grundlage geregelt sein. Diesbezüglich kann auch auf die Bearbeitung von Daten in Zusammenhang mit Reisenden ohne gültigen Fahrausweis verwiesen werden. Für diese wurde ebenfalls eine gesetzliche (da es sich um besonders schützenswerte Personendaten handelt eine formellgesetzliche) Grundlage geschaffen (vgl. AS 2015 3205 f.). Vorliegend fehlt somit auch eine gesetzliche Grundlage, welche die Einzelheiten der Kontrolldatenbank (Regelung des Informationssystems, der Datenbearbeitungen, der Datenaufbewahrung, Zugriffberechtigungen, usw.) regelt. Eine Regelung in einem Tarif, der von den Transportunternehmen erstellt wird, würde nicht genügen. Es muss sich mindestens um eine gesetzliche Grundlage im materiellen Sinn (z.B. eine Bundesratsverordnung) handeln. Werden besonders schützenswerte Personendaten bearbeitet, braucht es eine formelle
3 Vgl. Fussnoten 2 und 4 des Schlussberichts
6/6
gesetzliche Grundlage (z.B. Bundesgesetz). Zudem müsste das Informationssystem selbst in der gesetzlichen Grundlage geregelt werden. Gleichzeitig müsste der VöV die Datenbank beim EDÖB anmelden. Daraus folgt, dass die Kontrolldatenbank auf keiner genügenden gesetzlichen Grundlage beruht und somit nicht rechtmässig ist. In seiner Korrespondenz mit dem EDÖB betreffend die Petition 15.2018 vertrat auch das BAV die Auffassung, dass die Kontrolldatenbank weder verhältnismässig ist noch auf einer genügenden gesetzlichen Grundlage beruht. So hat das BAV im September 2015 gegenüber dem EDÖB festgehalten, dass es nicht erforderlich sei, die Daten aufzubewahren, nachdem die Kontrolle einen gültigen Fahrausweis ergeben habe. Zudem gäbe es keine Rechtsgrundlage, um die Daten von Reisenden mit gültigem Fahrausweis zu speichern. Folglich hielt das BAV fest, dass die Identität des Reisenden, die von einem Gerät zur Kontrolle der Gültigkeit des Fahrausweises erfasst würden, automatisch in dem Moment zu löschen seien, in dem das Gerät die Gültigkeit seines Fahrausweises bestätigt habe. Daraus folgt, dass die in Zusammenhang mit der Kontrolldatenbank durchgeführten Datenbearbeitungen weder das Verhältnismässigkeitsprinzip einhalten noch auf einer genügenden gesetzlichen Grundlage beruhen.
III. Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte:
Der VöV und die SBB stellen sicher, dass die SBB die Kontrolldaten unverzüglich löscht und die Kontrolldatenbank nicht mehr weiter betreibt sowie die Transportunternehmen entsprechend informiert resp. die Lesegeräte entsprechend konfiguriert werden und die Daten nicht mehr (systematisch) übermittelt werden. Der VöV und die SBB informieren den EDÖB über die erfolgte Löschung und die diesbezüglich getroffenen Anpassungen.
Diese Empfehlung richtet sich an den VöV und die SBB. Diese teilen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innerhalb von 30 Tagen mit, ob sie diese Empfehlung annehmen oder ablehnen. Falls diese Empfehlung abgelehnt oder nicht befolgt wird, kann der EDÖB die Angelegenheit dem Eidgenössischen Departement für Umwelt, Verkehr, Energie und Kommunikation vorlegen.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Der Beauftragte ad interim
Jean-Philippe Walter
Beilage: Schlussbericht vom 4. Januar 2016
Kopie: - Eidg. Departement für Umwelt, Verkehr, Energie und Kommunikation, Generalsekretariat, 3003 Bern - Bundesamt für Verkehr (BAV), Rechtsdienst, 3003 Bern