20060411 - Biometrische Kontrollen bei Sport und Freizeitanlagen — Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 11.04.2006

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB

Feldeggweg 1, 3003 Bern Tel. 031 322 43 95, Fax 031 325 99 96 www.edoeb.admin.ch

Erhebung biometrischer Daten beim Erwerb einer Dauerkarte in den Sport- und Freizeitanlagen KSS Schaffhausen

Schlussbericht vom 11. April 2006

sowie

Anhang vom 6. November 2006

der Kontrolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäss Art. 29 des Bundesgesetzes über den Datenschutz (DSG)

Veröffentlicht am 24. November 2006 auf www.edoeb.admin.ch

2/34

Inhaltsverzeichnis Inhaltsverzeichnis..................................................................................................... 2 1. Ausgangslage....................................................................................................... 4 2. Umfang der Kontrolle ........................................................................................... 4 3. Chronologie der Kontrolle..................................................................................... 4 4. Sachverhaltsabklärung vor Ort vom 21. November 2005..................................... 5 4.1 ANWESENDE PERSONEN ................................................................................................................5 4.2 ENROLMENT AN DER KASSENTHEKE................................................................................................5 4.3 EINTRITT IN DAS HALLENBAD ..........................................................................................................6 4.4 AUFKLÄRUNG DER KUNDEN ............................................................................................................6 4.5 GRÜNDE FÜR DIE EINFÜHRUNG DES NEUEN SYSTEMS ......................................................................6 4.6 KEINE ALTERNATIVEN ZUM NEUEN SYSTEM .....................................................................................7 5. Datenschutzrechtliche Beurteilung ....................................................................... 7 5.1 BIOMETRISCHE DATEN ALS PERSONENDATEN .................................................................................7 5.1.1 Ausgangslage.......................................................................................................................7 5.1.2 Beurteilung aus Sicht des EDÖB .........................................................................................7 5.2 ZWECK DER DATENBEARBEITUNG ...................................................................................................8 5.2.1 Ausgangslage.......................................................................................................................8 5.2.2 Beurteilung aus Sicht des EDÖB .........................................................................................8 5.3 RECHTMÄSSIGKEIT DER DATENBESCHAFFUNG/EINWILLIGUNG DER BETROFFENEN ............................8 5.3.1 Ausgangslage.......................................................................................................................8 5.3.2 Beurteilung aus Sicht des EDÖB .........................................................................................9 5.4 BEARBEITUNG NACH TREU UND GLAUBEN/TRANSPARENZ ..............................................................10 5.4.1 Ausgangslage.....................................................................................................................10 5.4.2 Beurteilung aus Sicht des EDÖB .......................................................................................10 5.5 VERHÄLTNISMÄSSIGKEIT DER DATENBEARBEITUNG........................................................................10 5.5.1 Verhältnismässigkeit in inhaltlicher Hinsicht – Ausgangslage ...........................................10 5.5.2 Beurteilung der inhaltlichen Verhältnismässigkeit aus Sicht des EDÖB............................11 5.5.3 Verhältnismässigkeit in zeitlicher Hinsicht – Ausgangslage ..............................................12 5.5.4 Beurteilung der zeitlichen Verhältnismässigkeit aus Sicht des EDÖB...............................12 5.6 ZWECKBINDUNG DER DATENBEARBEITUNG....................................................................................14 5.6.1 Ausgangslage.....................................................................................................................14 5.6.2 Beurteilung aus Sicht des EDÖB .......................................................................................14 5.7 DATENRICHTIGKEIT (ZUVERLÄSSIGKEIT, ANWENDBARKEIT) ............................................................14 5.7.1 Ausgangslage.....................................................................................................................14 5.7.2 Beurteilung aus Sicht des EDÖB .......................................................................................15 5.8 DATENSICHERHEIT .......................................................................................................................15 5.8.1 Ausgangslage.....................................................................................................................15 5.8.2 Beurteilung aus Sicht des EDÖB .......................................................................................16 5.9 AUSKUNFTSRECHT.......................................................................................................................16 5.9.1 Ausgangslage.....................................................................................................................16 5.9.2 Beurteilung aus Sicht des EDÖB .......................................................................................16 6. Ergebnisse ......................................................................................................... 17 6.1 BIOMETRISCHE DATEN ALS PERSONENDATEN ...............................................................................17 6.2 ZWECK DER DATENBEARBEITUNG .................................................................................................17 6.3 RECHTMÄSSIGKEIT DER DATENBESCHAFFUNG/EINWILLIGUNG DER BETROFFENEN ..........................18 6.4 BEARBEITUNG NACH TREU UND GLAUBEN/TRANSPARENZ ..............................................................19 6.5 VERHÄLTNISMÄSSIGKEIT DER DATENBEARBEITUNG........................................................................19 6.5.1 Verhältnismässigkeit in inhaltlicher Hinsicht ......................................................................19 6.5.2 Verhältnismässigkeit in zeitlicher Hinsicht .........................................................................21

3/34

6.6 ZWECKBINDUNG DER DATENBEARBEITUNG....................................................................................23 6.7 DATENRICHTIGKEIT (ZUVERLÄSSIGKEIT, ANWENDBARKEIT) ............................................................23 6.8 DATENSICHERHEIT .......................................................................................................................23 6.9 AUSKUNFTSRECHT.......................................................................................................................24 7. Schlussfolgerungen............................................................................................ 25 7.1 BEZÜGLICH DER KONTROLLE DER ERHEBUNG BIOMETRISCHER DATEN ...........................................25 7.2 VERFAHREN UND WEITERES VORGEHEN........................................................................................25

Anhang vom 6. November 2006 zum Schlussbericht............................................. 27 1. VORBEMERKUNG ...........................................................................................................................27 2. AUSWERTUNG DER STELLUNGNAHMEN DER KSS ............................................................................27 2.1 RECHTMÄSSIGKEIT DER DATENBESCHAFFUNG/EINWILLIGUNG DER BETROFFENEN .......................27 2.2 VERHÄLTNISMÄSSIGKEIT IN INHALTLICHER HINSICHT...................................................................29 2.3 VERHÄLTNISMÄSSIGKEIT IN ZEITLICHER HINSICHT.......................................................................30 2.4 DATENSICHERHEIT....................................................................................................................33

4/34

1. Ausgangslage Im Januar 2005 haben die KSS Sport- und Freizeitanlagen Schaffhausen (im Folgenden: KSS) ein neues Kontrollsystem für den Zugang zum Hallenbad und Wellnessbereich eingeführt. Neu werden bei der Ausstellung von Dauerkarten (persönliche, nicht übertragbare Jahres- und Halbjahresabonnemente) neben den Personalien auch biometrische Daten in Form von Vorlagen (= Templates) der Fingerabdrücke erhoben und gespeichert. Bei jedem Eintritt in das Hallenbad oder den Wellnessbereich muss der Kunde seine Dauerkarte sowie zusätzlich seinen Finger einsetzen, damit er das Drehkreuz am Eingang passieren kann. Das neue Zugangskontrollsystem wurde von der KSS zum Zweck der Eindämmung von Missbräuchen bei der Benutzung persönlicher, nicht übertragbarer Dauerkarten eingesetzt. Nach einer halbjährigen Pilotphase wurde das neue System im Sommer 2005 definitiv eingeführt. Langfristig ist ein Ausbau des Systems für weitere Sport- und Freizeitangebote (wie Freibad im Sommer oder Eisbahn im Winter) geplant.

2. Umfang der Kontrolle Die Datenschutzkontrolle bezog sich auf die Datenabläufe im Zusammenhang mit dem neuen Zugangskontrollsystem. Der Schwerpunkt der lag dabei bei der Bearbeitung der erhobenen biometrischen Daten.

3. Chronologie der Kontrolle Mitte Januar 2005 Der EDÖB erfährt von der Erhebung biometrischer Daten bei der KSS durch diverse Zeitungsberichte. Zudem wenden sich besorgte Bürger mit der Frage an den EDÖB, ob diese Datenerfassung rechtmässig sei. Aus Zeit- und Ressourcengründen kann der EDÖB zu diesem Zeitpunkt nicht näher auf den Sachverhalt eingehen. Es wird aber der Entschluss gefasst, zu einem späteren Zeitpunkt eine Datenschutzkontrolle bei der KSS durchzuführen.

6. Juni 2005 Der EDÖB informiert die KSS schriftlich über die geplante Datenschutzkontrolle betreffend das neue Zugangskontrollsystem sowie über eine geplante Sachverhaltsabklärung (=Augenschein) vor Ort. Zusätzlich bittet der EDÖB um Dokumentation über das neue System und um Beantwortung eines beigelegten Fragenkataloges.

29. Juni 2005 Die KSS beantwortet den Fragekatalog des EDÖB und bittet um Terminvorschläge. 4. August 2005 Der EDÖB macht Terminvorschläge und bittet um Nennung der an der Sachverhaltsabklärung anwesenden Personen. Zudem werden letzte Rückfragen gestellt.

19. August 2005 Die KSS beantwortet die letzten Rückfragen schriftlich. Der Termin für die Sachverhaltsabklärung vor Ort wird auf den 21. September 2005 festgelegt.

5/34

7. September 2005 Die Sachverhaltsabklärung muss von Seiten der KSS auf unbestimmte Zeit verschoben werden.

21. November 2005 Sachverhaltsabklärung des EDÖB bei der KSS in Schaffhausen mit den verantwortlichen Personen. 1. Dezember 2005 Der EDÖB kündigt der KSS das weitere Vorgehen der Datenschutzkontrolle per Email an. 14. Dezember 2005 Der EDÖB schickt ein Fact-Sheet an die KSS mit der Bitte um materielle Bereinigung des Textes sowie Beantwortung aufgetretener Rückfragen. 1. Februar 2006 Die KSS bestätigt die Richtigkeit des Fact-Sheets und beantwortet die gestellten Rückfragen Februar - März 2006 Analyse und Auswertung aller Unterlagen und Sachverhalte sowie Ausarbeitung des Schlussberichtes durch den EDÖB. 11. April 2006 Verabschiedung des Schlussberichtes durch den EDÖB.

4. Sachverhaltsabklärung vor Ort vom 21. November 2005 4.1 Anwesende Personen Von Seiten der KSS waren der Präsident sowie der Betriebsleiter/Stellvertretende Direktor anwesend, von Seiten der Ticos AG (Ticos AG = Systemlieferant) waren der Projektleiter sowie der Prokurist/Verkaufsleiter anwesend. Der EDÖB war durch eine Juristische Beraterin und einen Informatikberater vor Ort vertreten.

4.2 Enrolment an der Kassentheke Für die Ausstellung einer Dauerkarte für das Hallenbad inkl. Wellnessbereich legt der Kunde einen persönlichen Ausweis vor. In der Erfassungsmaske werden von einem Mitarbeiter an der Kasse die Personalien des Kunden eingegeben. Zusätzlich zieht der Kunde einen Zeigefinger über einen Scanner. Das Abbild dieses Fingers (Anfangs- und Endpunkte, Gabelungen etc. der Fingerabdruck- Papillaren = Minutien) wird in ein Template umgewandelt und in einer Datenbank abgelegt. Es werden alle Minutien, die aus dem Fingerabdruck entnommen werden können, abgespeichert. Konkret sind dies 20-50 Minutien. Rohdaten des Fingerabdrucks werden keine erfasst. Nach diesem Vorgang erhält jeder Kunde eine Transponderkarte in Kreditkartenformat mit einer einmaligen Karten-ID. Die Personalien des Kunden und das Template werden dieser Karten-ID zugeordnet. Auf der Karte sind keine Daten gespeichert. Eine Kennzeichnung (z.B. Unterschrift) der Karte ist nur optional, um mehrere Karten innerhalb einer Familie auseinander halten zu können. Die Transponderkarte hat eine Funkreichweite von ca. 5 cm. Anders als im Hallenbad wird im Wellnessbereich der Eintritt kontaktlos, ohne Einzug der Transponderkarte, gewährt. Die Systemlösung des Lieferanten erlaubt es, auch Karten ohne Templates oder Karten mit mehreren Templates auszustellen. Für Personen, die aufgrund mangelhafter oder fehlender biometrischer Merkmale nicht eingelesen werden können, kann auf die Aufnahme des Templates verzichtet werden. Bei schlechtem Einlesen könnten zur Verbesserung der Verifizierung am Kassendrehkreuz mehrere Templates des gleichen oder weiterer Finger aufgenommen werden.

6/34

4.3 Eintritt in das Hallenbad Der Kunde steckt die Transponderkarte in einen Kartenleser beim Drehkreuz. Es folgt die Aufforderung an den Kunden, seinen Zeigefinger über den Scanner zu rollen. Durch die Karten-ID wird automatisch das dazugehörige Template (= Referenzdatum) aufgerufen und mit dem abgeleiteten Template des Fingerabdrucks des anwesenden Kunden abgeglichen. Es findet also kein zentraler 1:n Vergleich mit der ganzen Datenbank statt, sondern ein lokaler 1:1 Vergleich über die Karten-ID. Ist die Verifizierung gelungen, erhält der Kunde die Transponderkarte zurück und das Drehkreuz wird freigegeben (angezeigt durch ein grünes Lämpchen). Nach 3 Fehlerkennungen wird die Karte automatisch vom Lesegerät eingezogen. Sofern ein Kunde seine Transponderkarte vergessen hat, kann er sich an der Kasse melden. Der Kunde erhält gemäss Auskunft der KSS in diesem Fall unbürokratisch durch Namensnennung vom Kassenpersonal Einlass ohne seinen Fingerabdruck an der Kasse abgeben oder sich mit einem Ausweis verifizieren zu müssen. Hier wird dem Kunden laut der Betriebsleitung grosses Vertrauen entgegengebracht.

4.4 Aufklärung der Kunden Die Kunden wurden Anfang des Jahres 2005 persönlich beim Erwerb neuer resp. beim Umtausch bestehender Dauerkarten über das neue biometrische System informiert. Weiter wurde an der Kassentheke ein Info-Flyer aufgelegt. Bei der Sachverhaltsabklärung vor Ort waren hingegen keine Flyer an der Kassentheke aufgelegt oder direkt griffbereit. Der Flyer enthält die Überschrift „Ist der Datenschutz bei der biometrischen Fingerprint Erkennung und Identifikation gewährleistet?“. Im Flyer werden die Funktionsabläufe des neuen Systems in groben Zügen erklärt und die Gewährleistung des Datenschutzes hervorgehoben.

4.5 Gründe für die Einführung des neuen Systems Das alte Kartensystem war ca. 25 Jahre alt und nicht mehr zeitgemäss. Die KSS hatte mit dem alten Kassensystem keinen Überblick, wie viele Dauerkarten im Umlauf waren. Verlorengegangene oder gestohlene Karten konnten nicht gesperrt werden. Aus diesem Grund war das Missbrauchspotenzial sehr hoch. Auch konnten sich Kunden mit einer Dauerkarte Eintritt verschaffen, die nicht Ihnen, sondern z.B. ihrem Partner oder einem minderjährigen Kind gehörte. Solche Missbräuche zu verhindern war unter dem alten System sehr schwierig. Die neuen Dauerkarten können von einer unberechtigten Person nicht verwendet werden, da ihr der Eintritt mit dieser Karte aufgrund der Nichtübereinstimmung des Fingerabdrucks nicht gewährt wird. Gemäss Angaben der KSS hat sich der Umsatz von Januar 2005 bis November 2005 um gute 8% gesteigert, was mit der nun fehlenden Missbrauchsmöglichkeit in Zusammenhang steht. Bei der Erfassung der biometrischen Daten von Kunden geht es primär darum, den Missbrauch von Dauerkarten automatisiert zu verhindern. Des Weiteren liessen sich keinerlei Statistiken erstellen. Mit dem neuen Erfassungssystem lässt sich nun genau eruieren, aus welchen Regionen die Kundschaft herstammt. Eine solche Auflistung nach geographischer Herkunft hat die Geschäftsprüfungskommission Schaffhausen von der KSS ausdrücklich verlangt (wegen den Subventionen des Kantons Schaffhausen und dem grenznahen deutschen Kundenstamm). Auch ist besser ersichtlich, wer welches Angebot nutzt. Die statistischen Auswertungen sind Web-basiert. Es gibt 6 vordefinierte Abfragemöglichkeiten für Auswertungen. Dieses Statistiksystem kann von den zugangsberechtigten Mitarbeitern der KSS genutzt werden. Weiter ist es möglich, Adresslisten der Kunden auszudrucken.

7/34

Ein weiterer Vorteil für die Kunden besteht darin, dass es auf den Abonnements-Karten keinen Geldwert mehr hat (die alten Karten konnten mit Geldguthaben aufgeladen werden). Die Betriebsleitung wies darauf hin, dass die Akzeptanz der Kunden anfänglich etwas ablehnend war, heute jedoch sehr hoch sei. Diejenigen Kunden, die sich gegen das neue Zugangskontrollsystem gewehrt hätten, seinen vermutlich mehrheitlich Personen gewesen, die mit dem alten Kartensystem Missbrauch betrieben hätten.

4.6 Keine Alternativen zum neuen System Für Personen, die ihre biometrischen Daten für eine Dauerkarte nicht einlesen lassen wollen, besteht keine Alternative. Sie müssen auf eine Dauerkarte verzichten. Diese Kunden haben die Möglichkeit, herkömmliche Einzeleintritte oder 10-er Abonnemente zu kaufen, was unter Umständen teurer ist. Gemäss Auskunft der Betriebsleitung wurde denjenigen Kunden, die vor Januar 2005 eine Dauerkarte gekauft hatten und sich weigerten, ihre biometrischen Daten preiszugeben, eine Rückerstattung pro rata temporis angeboten.

5. Datenschutzrechtliche Beurteilung 5.1 Biometrische Daten als Personendaten 5.1.1 Ausgangslage Das Bundesgesetz über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1) findet dort Anwendung, wo mit Personendaten im Sinne des Art. 3 lit. a DSG operiert wird. Im vorliegenden Fall werden bei der Ausstellung von Dauerkarten für den Hallenbad- und Wellnessbereich der Sport- und Freizeitanlagen KSS Schaffhausen biometrische Daten bearbeitet (Templates von Fingerabdrücken). 5.1.2 Beurteilung aus Sicht des EDÖB Biometrische Daten der Fingerabdrücke in Form von Templates (= Referenzdatum) machen eine Person durch Abgleich mit einem aktuell präsentierten Fingerabdruck bestimmbar. Somit können die biometrischen Daten der Verifizierung (resp. Identifizierung) einer Person dienen. Die Bestimmbarkeit ergibt sich nicht nur aus dieser Abgleichsmöglichkeit, sondern auch dadurch, dass das Template zusammen mit den Personalien der Dauerkarteninhaber abgespeichert wird. Die biometrischen Daten in Form von Templates können in Verbindung mit diesen weiteren Daten klar einer Person zugeordnet werden und machen diese bestimmbar (Art. 3 lit. a DSG). Im Falle der KSS werden alle Minutien, die aus einem Fingerabdruck entnommen werden können, abgespeichert. Konkret sind dies 20-50 Minutien. Die Minutien-Daten werden mittels eines mathematischen Algorithmus codiert und komprimiert. Die Algorithmen für Template-Extrahierungen von biometrischen Rohdaten sind heutzutage weder standardisiert noch transparent, deswegen ist es derzeit schwierig, die Sensibilität (Elemente über Gesundheit/Rasse) eines Templates formell abschliessend einschätzen zu können. Zudem machen biometrische Daten in Form von Rohdaten oder Templates eine Person identifizierbar resp. bestimmbar, und ihre Erhebung hinterlässt in der Regel – insbesondere bei der Erhebung von Fingerabdrücken – (Daten-)Spuren. Die Erhebung von Rohdaten oder Templates ist somit geeignet, ein Bewegungsprofil der betroffenen Person zu erstellen. Gestützt auf diese Tatsache besteht bei der Erhebung biometrischer Daten für die betroffene Person ein hohes Gefährdungspotenzial für ihre Persönlichkeitsrechte. Ferner ist festzuhalten, dass auch der Europarat und die Art. 29 Datenschutzgruppe der EU aus gleichen Gründen die hohe Sensibilität biometrischer Daten anerkennen.

8/34

5.2 Zweck der Datenbearbeitung 5.2.1 Ausgangslage Jede Bearbeitung von Personendaten stellt einen Eingriff in das Recht auf informationelle Selbstbestimmung gemäss Art. 13 Abs. 2 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV; SR 101) dar. Daher bedarf die Bearbeitung einer besonderen Rechtfertigung. Praktikabilitätserwägungen oder allgemeine Kundenfreundlichkeit stellten grundsätzlich keine ausreichende Rechtfertigung für die Bearbeitung biometrischer Daten dar. Gemäss Auskunft der KSS geht es beim Erfassen der biometrischen Daten ausschliesslich darum, den Missbrauch von Dauerkarten (Saisonabonnemente und Jahreskarten) automatisiert zu verhindern. Durch den Einsatz der automatisierten Fingerabdruckerkennung könne auf das aufwendige System mit Gesichtsbildern (Fotos) verzichtet werden. Der Vorteil für die KSS läge darin, dass keine manuelle Prüfung der Identität beim Badebesuch (z.B. visuelle Kontrolle eines auf der Karte angebrachten Fotos) vorgenommen werden müsse. Der Badegast identifiziere sich selbst durch das Einlesen des Fingerabdrucks. An der Sachverhaltsabklärung vor Ort wurde dem EDÖB auch mündlich mitgeteilt, dass das alte Kartensystem nicht mehr zeitgemäss war. Die Missbrauchsrate war sehr hoch, da mit dem alten Kassensystem kein Überblick bestand, wie viele Dauerkarten im Umlauf waren. Verlorengegangenen oder gestohlene Karten konnten nicht gesperrt werden. Auch konnten sich Kunden mit einer Dauerkarte Eintritt verschaffen, die nicht Ihnen, sondern z.B. ihrem Partner oder einem minderjährigen Kind gehörte. Die neuen Dauerkarten können von einer unberechtigten Person nicht verwendet werden, da der Eintritt mit dieser Karte aufgrund der Nichtübereinstimmung des Fingerabdrucks nicht gewährt wird. Gemäss Angaben der KSS hat sich der Umsatz von Januar 2005 bis November 2005 um gute 8% gesteigert, was mit der fehlenden Missbrauchsmöglichkeit in Zusammenhang steht. Als weiterer Grund für die Einführung des neuen Kassensystems macht die KSS die bis anhin fehlende Möglichkeit der statistischen Auswertung geltend. Mit dem neuen Erfassungssystem lässt sich genau eruieren, aus welchen Regionen die Kundschaft herstammt. Die Geschäftsprüfungskommission Schaffhausen hatte (wegen den Subventionen des Kantons Schaffhausen und dem grenznahen deutschen Kundenstamm) von der KSS eine detaillierte Auflisten der Badegäste nach geographischer Herkunft verlangt. Eine solche Auflistung kann nun erstellt werden. Ein weiterer Vorteil besteht aus Sicht der KSS darin, dass es auf den Abonnements-Karten keinen Geldwert mehr hat (die alten Karten konnten mit Geldguthaben aufgeladen werden).

5.2.2 Beurteilung aus Sicht des EDÖB Das neue Erfassungssystem und die damit verbundene Erhebung biometrischer Daten verfolgt nachvollziehbare Zwecke. Für den EDÖB stellt sich jedoch ernsthaft die Frage, ob es nicht andere Alternativen zur Missbrauchsvermeidung gäbe, welche weniger stark in die Persönlichkeitsrechte der Betroffenen eingreifen würden (vgl. dazu auch die grundsätzlichen Bemerkungen zur Verhältnismässigkeit unter Ziff. 5.5)

5.3 Rechtmässigkeit der Datenbeschaffung/Einwilligung der Betroffenen 5.3.1 Ausgangslage Biometrische Daten sind Personendaten im Sinne des Datenschutzgesetzes, für deren Bearbeitung ein Rechtfertigungsgrund (Art. 12 und 13 DSG) benötigt wird. Als Rechtfertigung der Datenbearbeitung kommt im vorliegenden Fall die Einwilligung der Betroffenen in Frage.

9/34

Gemäss Auskunft der KSS wurden die Abonnementsinhaber persönlich beim Erwerb bzw. beim Umtausch der bestehenden Dauerkarten über das neue Zugangskontrollsystem informiert. Weiter wurden Info-Flyer bei der Kassentheke aufgelegt. Für Personen, die ihre biometrischen Daten für eine Dauerkarte nicht einlesen lassen wollen, besteht keine Alternative. Sie müssen auf eine Dauerkarte verzichten. Diese Kunden haben die Möglichkeit, herkömmliche Einzeleintritte oder 10-er Abonnemente zu kaufen, was unter Umständen teurer ist. Die KSS hält es – nicht zuletzt aus Gleichheitsgründen – für ausgeschlossen, dass bei einem Teil der Kunden ein Fingerabdruck erfasst wird und bei den anderen nicht. Ein solches Vorgehen wäre aus Sicht der KSS annähernd willkürlich und mache zudem die Betreiberin der Anlagen unglaubwürdig. Gemäss Auskunft der Betriebsleitung KSS wurde aber denjenigen Kunden, die vor Januar 2005 eine Dauerkarte gekauft hatten und sich weigerten, ihre biometrischen Daten preiszugeben, eine Rückerstattung pro rata temporis angeboten. Die Systemlösung des Lieferanten erlaubt es, auch Karten ohne Templates oder Karten mit mehreren Templates auszustellen. Kann von einem Kunden aus technischen Gründen kein Template eingelesen werden, bspw. aufgrund mangelhafter oder fehlender biometrischer Merkmale, kann auf die Aufnahme des Templates verzichtet werden. Der betreffende Kunde erhält dann ein Ticket ohne Fingerabdruck-Verifizierung ausgestellt. Bei schlechtem Einlesen können zur Verbesserung der Verifizierung am Kassendrehkreuz mehrere Templates des gleichen oder weiterer Finger eingelesen werden.

5.3.2 Beurteilung aus Sicht des EDÖB Die Badegäste werden beim Umtausch oder beim Erwerb einer Dauerkarte vom Kassenpersonal über die Erhebung der biometrischen Daten und über die weitere Datenbearbeitung mündlich aufgeklärt. Der Systemlieferant hat zusätzlich einen Info-Flyer ausgearbeitet. Dieser Flyer trägt die Überschrift „Ist der Datenschutz bei der biometrischen Fingerabdruck Erkennung und Identifikation gewährleistet?“ und liegt dem EDÖB vor. Der Flyer erklärt, dass keine Rohdaten gespeichert werden, sondern extrahierte Merkmale (Minutien) eines Fingerabdrucks in Form eines „codierten“ Templates in der Datenbank gespeichert werden. Weiter führt der Flyer aus, wie der Abgleich der Templates vor sich geht und dass es nicht möglich ist, aus dem „Code“ das Rohdatum wieder herzustellen. Ferner wird darauf hingewiesen, dass heute gängige Personendatenbanken (z.B. bei Behörden, Kundenbindungsprogrammen oder Kreditkarten) aus Sicht des Datenschutzes eine weit grössere Gefahr darstellen als die Information eines Fingerabdrucks. Zuletzt wird noch darauf hingewiesen, dass die Diskussion um den biometrischen Pass im Zusammenhang mit der Erfassung des Fingerabdrucks bei der KSS irrelevant sei und dass das Datenschutzproblem nicht mit der Einführung biometrischer Merkmale begonnene habe. Mit der Einführung seien nur einige zusätzliche Informationen zur zuverlässigen Verifizierung einer Person dazu gekommen. Der Flyer äussert sich nur grob über die Bearbeitungsmodalitäten der erhobenen Daten. Zudem erklärt der Flyer primär, warum der Einsatz von Biometrie aus Sicht des Systemlieferanten unproblematisch ist. Aus Sicht des EDÖB müssen für die Einwilligung – gerade in so einem sensiblen Bereich wie bei der Bearbeitung von Fingerabdrücken – strengere Anforderungen an die Aufklärung der betroffenen Personen gestellt werden. Es ist daher zu fordern, dass sich der Flyer konkreter zu den Bearbeitungsmodalitäten äussert. Er hat die Hauptpunkte der Datenbearbeitung zu enthalten, wie z.B. wo und für wie lange die Daten gespeichert werden, insbesondere was mit den Templates und Transaktionsdaten geschieht, wer Zugriff auf die Daten hat und an wen sie – wenn überhaupt – weiter gegeben werden etc. Anders als es derzeit der Fall ist, muss der Flyer von der KSS – und nicht vom Systemlieferanten – unterschrieben werden und eine Versionenkontrolle auf dem Blatt festgehalten sein. Des Weiteren ist zu bemängeln, dass an der Sachverhaltsabklärung vor Ort keine Flyer an der Kassentheke erhältlich waren. Der Flyer konnte dem EDÖB erst nach einer kleineren Suchaktion überreicht werden. Es ist zu fordern, dass jeder Badegast vor dem Enrolment automatische und ohne eigene Aufforderung einen Flyer vom Kassenpersonal ausgehändigt bekommt. Der Badegast sollte

10/34

genügend Zeit haben, vor dem Enrolment den Flyer zu lesen. Weitere Flyer sollten jederzeit für die Badegäste griffbereit an der Kassentheke aufliegen. Für Personen, die ihre Fingerabdrücke nicht für den Erwerb einer Dauerkarte einlesen lassen wollen, besteht keine Alternative. Solche Gäste haben nur die Möglichkeit, für sie kostenungünstigere 10-er Abonnemente oder Einzeltickets zu kaufen. Eine Dauerkarte können sie nicht erwerben. Für den Einsatz von Fingerabdrücken in einem Bereich wie dem vorliegenden, an dem keine Sicherheitsaspekte sondern die Missbrauchsverhinderung im Vordergrund stehen, besteht aus Sicht des EDÖB keine Rechtfertigung dafür, dass das informationelle Selbstbestimmungsrecht der Betroffenen in der vorliegenden Art und Weise eingeschränkt wird. Wer nicht bereit ist, seine Fingerabdrücke für die Dauerkarte einlesen zu lassen, sollte daher – gleich wie Personen, deren Daten aus individuellen oder technischen Gründen nicht eingelesen werden können – die Möglichkeit haben, auf eine andere Form von Dauerkarte ohne Fingerabdruck-Verifizierung zurückgreifen zu können.

5.4 Bearbeitung nach Treu und Glauben/Transparenz 5.4.1 Ausgangslage Die Bearbeitung von Personendaten muss nach Treu und Glauben erfolgen (Art. 4 Abs. 1 DSG). Dies bedeutet zum einen, dass die Datenbearbeitung für die betroffenen Personen transparent erfolgen muss. Zum anderen muss eine Datenbeschaffung und jede weitere Datenbearbeitung grundsätzlich für die Betroffenen erkennbar sein. Die Kunden werden vor dem Kauf einer Dauerkarte mündlich auf die Erhebung der biometrischen Daten aufmerksam gemacht. Das Enrolment erfolgt unter Mitwirkung des Kunden. Dieser muss also aktiv tätig werden, damit seine biometrischen Daten erfasst werden können (Abrollen des Zeigefingers auf dem Sensor an der Kassentheke). Ohne sein Zutun können keine biometrischen Daten erhoben werden. Die Info-Flyer des Systemlieferanten lagen beim Augenschein nicht auf. Somit ist davon auszugehen, dass die Kunden sich erst nach dem Flyer erkundigen müssen bzw. die Informationen auf dem Flyer nicht erhalten. 5.4.2 Beurteilung aus Sicht des EDÖB Da die biometrischen Daten nicht ohne Zutun der Betroffenen erhoben werden, erfolgt die Datenbearbeitung für diese auch klar erkennbar (Abrollen des Fingers auf dem Sensor). Für eine möglichst transparente Datenbearbeitung sollte neben den mündlichen Auskünften des Kassenpersonals den Kunden auch automatisch ein Flyer mitgegeben werden, auf dem umschrieben ist, was mit ihren Personendaten geschieht. Es kann in diesem Punkt auf das unter Ziff. 5.3.2 gesagte verwiesen werden. Hier besteht aus Sicht des EDÖB eine ungenügende Aufklärung der Badegäste.

5.5 Verhältnismässigkeit der Datenbearbeitung Die Bearbeitung von Personendaten hat sich am Grundsatz der Verhältnismässigkeit auszurichten (Art. 4 Abs. 2 DSG). Dies bedeutet, dass ein Datenbearbeiter nur diejenigen Daten bearbeiten darf, die er für einen bestimmten Zweck objektiv tatsächlich benötigt und die im Hinblick auf den Bearbeitungszweck und die Persönlichkeitsbeeinträchtigung in einem vernünftigen Verhältnis stehen. 5.5.1 Verhältnismässigkeit in inhaltlicher Hinsicht – Ausgangslage Eine Datenbearbeitung ist dann verhältnismässig, wenn sie sich inhaltlich auf das absolut Notwendige beschränkt, um ein bestimmtes Ziel zu erreichen. Die inhaltliche Verhältnismässigkeit fordert einen möglichst schonenden Umgang mit Personendaten. Dies bedingt auch, dass keine für den verfolgten

11/34

Zweck nicht benötigten Überschussinformationen anfallen. Ebenso ist es unzulässig, Personendaten auf Vorrat zu erheben, sofern der damit verfolgte Zweck dies nicht unabdingbar erfordert. Mit der Einführung des neuen Zugangskontrollsystems werden aus den Fingerabdrücken der Kunden Templates generiert und diese zentral in einer Datenbank abgelegt. Rohdaten (d.h. das Originalabbild des Fingerabdruckes) werden keine erhoben. Die Erstellung einer Kopie des eingescannten Fingerabdruckbildes wäre derzeit technisch zwar noch möglich. Der Systemlieferant hat dem EDÖB aber versichert, dass diese Möglichkeit zukünftig von der SW-API entfernt werden könnte. Nebst den Templates werden in der Datenbank auch die Personalien der Kunden sowie die Daten des erstellten Abonnements (Kartendatensatz) zentral gespeichert. Auf der Transponderkarte selbst sind keine Daten erfasst. Die Transponderkarte besitzt eine einmalige Karten-ID. Beim Einlesen der Karte am Drehkreuz wird über die Karten-ID das unter dieser ID abgelegte Template (= Referenzdatum) aus der Datenbank ermittelt. Der Kunde rollt seinen Finger nun über einen Sensor. Das aktuell erstellte Template wird nun mit dem ermittelten Referenzdatum verglichen. Stimmen die beiden Templates überein, öffnet sich das Drehkreuz und der Gast kann das Hallenbad betreten. Jeder korrekt verifizierte Eintritt wird protokolliert. Stimmen die Templates nicht überein, wird ihm der Zugang verweigert.

5.5.2 Beurteilung der inhaltlichen Verhältnismässigkeit aus Sicht des EDÖB Der Einsatz biometrischer Verfahren im Privatbereich stellt je nach Ausgestaltung im konkreten Einzelfall einen mehr oder weniger intensiven Eingriff in die Persönlichkeitsrechte der Betroffenen dar. Grundsätzlich sind daher vor dem Einsatz biometrischer Verfahren immer auch andere geeignete Massnahmen zu überprüfen, welche weniger in die Grundrechte der Betroffenen eingreifen und mit denen der angestrebte Zweck ebenfalls erreicht werden kann (vgl. dazu auch die Bemerkungen in Ziff. 5.2.2). Des Weiteren muss schon bei der Auswahl und Ausgestaltung des biometrischen Verfahrens darauf geachtet werden, ein möglichst datensparsames System auszuwählen, das in einem vernünftigen Verhältnis zum angestrebten Zweck steht. Wie die Art. 29-Datenschutzgruppe der EU in ihrer Stellungnahme zum Einsatz von Biometrie festhält, sind bei der Beurteilung der Verhältnismässigkeit „auch die Risiken für den Schutz der Grundrechte und –freiheiten des Einzelnen zu berücksichtigen, vor allem die Frage, ob der beabsichtigte Zweck nicht auch auf eine weniger in die Rechte der Betroffenen eingreifende Weise zu erreichen ist“. Wie die Art. 29-Datenschutzgruppe des Weiteren festhält, „sind biometrische Systeme, die zur Zugangskontrolle (Authentifikation/Verifikation) eingesetzt werden, mit geringeren Gefahren für den Schutz der Grundrechte und –freiheiten des Einzelnen verbunden, wenn sie entweder auf Körpermerkmalen basieren, die keine Spuren hinterlassen (z.B. in Form der Hand, aber keine Fingerabdrücke), oder wenn sie zwar Körpermerkmale verwenden, die Spuren hinterlassen, die Daten jedoch nicht auf einem Medium speichern, das sich nicht im Besitz der betroffenen Person befindet (mit anderen Worten, wenn die Daten nicht im Gerät, das den Zugang kontrolliert, oder in einer zentralen Datenbank gespeichert werden“ (Art. 29-Datenschtzgruppe, Arbeitspapier über Biometrie, angenommen am 1. August 2003, 12168/02/DE WP 80). Demzufolge erfordert der Grundsatz der inhaltlichen Verhältnismässigkeit, dass bei biometrischen Systemen, die auch ohne zentrale Speicherung funktionsfähig sind, die biometrischen Merkmale möglichst nicht in einer Datenbank gespeichert werden, sondern nur auf einem Medium, das ausschliesslich dem Benutzer zugänglich ist. Im vorliegenden Fall geht es um die Eintrittskontrolle zu einer Freizeitanlage. Die Biometrie wird hier zur Verifizierung der Dauerkartenbesitzer eingesetzt. Datensparsamkeit erreicht man, indem nur die unbedingt zur Verifizierung notwendigen biometrischen Daten erhoben werden. Zur Verifizierung werden keine Rohdaten benötigt. Der Abgleich mit Templates reicht aus, um die berechtigte Person bei Durchschreiten des Drehkreuzes zu authentifizieren. Die Beschränkung der Speicherung biometrischer Daten auf Templates, wie dies von der KSS vollzogen wird, ist unter dem Gesichtspunkt der Datensparsamkeit verhältnismässig. Da die Erstellung einer Kopie des eingescann-

12/34

ten Fingerabdruckes derzeit rein technisch noch möglich wäre, ist zu fordern, dass diese Möglichkeit durch den Systemlieferanten von der SW-API entfernt wird. Biometrische Daten sind dauerhaft personengebunden und sind geeignet, von der betroffenen Person ein Bewegungsprofil zu erstellen. Aus diesem Grund sollten die biometrischen Daten – gerade wenn es um so heikle Bereiche wie Fingerabdrücke geht – im Einflussbereich der betroffenen Person, d.h. des Nutzers, gespeichert werden und dort verbleiben. Insbesondere beim Einsatz von Biometrie zur Eintrittskontrolle in einer Freizeitanlage ist aus Gründen des Persönlichkeits- und Datenschutzes auf eine zentrale Speicherung zu verzichten. Nach Ansicht des EDÖB wird beim Einsatz von Biometrie im Privatbereich der Persönlichkeitsschutz der Betroffenen am ehesten gewahrt, indem 1. die biometrischen Daten auf einem Sicherheitsmedium, das sich in der alleinigen Kontrolle der betroffenen Person befindet, auslesesicher gespeichert werden; 2. die betroffene Person jeden Zugriff auf die Daten explizit und bewusst freigeben muss; und 3. die Verifizierung der Identität ausschliesslich auf diesem Sicherheitsmedium stattfindet, so dass die biometrischen Daten zu keinem Zeitpunkt die gesicherte Umgebung des Mediums und die Kontrolle der betroffenen Person verlassen. Dies bedingt, dass von der KSS in Zukunft auf die zentrale Speicherung der biometrischen Daten in Form von Templates der Fingerabdrücke verzichtet wird und die biometrischen Daten – auch diejenigen, welche bereits zentral erfasst wurden – auf einer Smart Card, welche sich in der Nutzersphäre der betroffenen Person befindet, abgelegt werden. Eine zentrale Speicherung der biometrischen Daten ist unter dem Blickwinkel des Grundsatzes der Datensparsamkeit und des Grundsatzes der möglichst schonenden Bearbeitung von Personendaten, im vorliegenden Fall der Eintrittskontrolle in die Freizeitanlage der KSS Schaffhausen, unverhältnismässig. 5.5.3 Verhältnismässigkeit in zeitlicher Hinsicht – Ausgangslage Das Erfordernis der Verhältnismässigkeit begrenzt die Datenbearbeitung auch in zeitlicher Hinsicht. Sofern personenbezogene Daten für den verfolgten Zweck nicht mehr gebraucht werden, sind sie zu vernichten resp. zu löschen. Dabei ist eine frühestmögliche Löschung vorzusehen. Die Personalien und die Templates werden derzeit nicht gelöscht. Als Begründung macht die KSS geltend, dass es Kunden gäbe, die erst in einem Folgejahr wieder eine Dauerkarte lösen und man in diesem Fall die Personalien (inkl. Template) nicht neu aufnehmen müsse. Auch würde bei einer Löschung der Kartendaten die statistische Auswertung nicht mehr funktionieren. Ebenfalls nicht gelöscht werden die korrekt verifizierten Eintritte (Transaktionen), die mit einer Dauerkarte getätigt werden. Diese Transaktionen werden zu den Kartendaten gespeichert. Die Transaktionen (Datum, Uhrzeit und Kontrollautomat des Badeein- resp. Badeaustritts) bleiben derzeit bis auf weiteres gespeichert.

5.5.4 Beurteilung der zeitlichen Verhältnismässigkeit aus Sicht des EDÖB Der EDÖB hat bereits bei der Besichtigung der Anlagen vor Ort darauf aufmerksam gemacht, dass eine dauerhafte Aufbewahrung dieser Daten gegen den Grundsatz der zeitlichen Verhältnismässigkeit verstösst. Problematisch erscheint insbesondere die dauerhafte zentrale Speicherung der Templates sowie der Transaktionsdaten. Die KSS sowie der Systemlieferant wurden daher aufgefordert, Löschfristen für diese Daten zu überprüfen und dem EDÖB diese möglichen Fristen baldmöglichst mitzuteilen.

13/34

Mit Schreiben vom 1. Februar 2006 stellt die KSS dem EDÖB folgende Löschregelung in Aussicht: Der Systemlieferant stellt eine technische Lösung für die Vernichtung der vorhandenen Daten, die im Kontext zu einem Badegast stehen, zur Verfügung. Die Kundendaten (Anschrift und Kontaktinformationen) werden mit einem CREATE-Datum (Datum der erstmaligen Aufnahme der Angaben) und MO- DIFY-Datum (Aktualisierung jeder Änderung wie Adressänderung, Karte erworben, Karte abgelaufen) gespeichert. Im System wird neu ein Zeitraum definiert, der festlegt, wann das System den Kunden nach der letzten Aktualisierung aus der Datenbank löscht. Die KSS schlägt hier als Löschfrist 18 – 24 Monate vor. Danach könne davon ausgegangen werden, dass der Kunde nicht mehr zu den Dauergästen zähle. Analog zu den Kundendaten erhält auch das Template ein CREATE- und MODIFY-Datum. Auch hier wird neu ein Zeitraum definiert, nach dessen Ablauf das Template bei inaktiven Kundenkonten gelöscht wird. Die KSS schlägt hier als Löschfrist 7 – 14 Monate vor, da bei dieser Zeitspanne der Kunde eine Abonnementsdauer (6 oder 12 Monate) aussetzen könne, ohne dass ein neues Template erfasst werden müsse. Weiter führt die KSS aus, dass bei den Templates ein Mechanismus eingebaut wird, der es ermöglicht, ein altes Template automatisch zu erkenne und es zu ersetzen. Ein altes Template könne somit ein maximales Alter (vorgeschlagen werden 3 Jahre) nicht überschreiten. Die Templates, welche das maximale Alter erreicht haben, werden nicht gelöscht, können aber nicht mehr für das Ausstellen eines neuen Abonnements verwendet werden. Die Transaktionsdaten können ebenfalls nach einem frei definierbaren Zeitraum anonymisiert werden, jedoch nur diejenigen Daten, die nicht mehr zu einem aktuellen Abonnement gehören. Sobald das Abonnement abgelaufen ist, beginnt die vordefinierte Zeit bis zur Anonymisierung zu laufen. Die KSS erachtet es als sinnvoll, die Transaktionsdaten nach 3 – 6 Monaten zu anonymisieren, damit der Gast noch die Möglichkeit besitzt auf eigenen Wunsch zu erfahren, wie häufig bzw. wann er sein Abonnement benutzt hat. Zudem benötigt die KSS gemäss eigener Auskunft die Transaktionsdaten zur Erstellung von Eintritts- und Besucherstatistiken. Der EDÖB erachtet die von der KSS vorgeschlagene Frist für die Löschung der Kundendaten (18 – 24 Monate) als in zeitlicher Hinsicht verhältnismässig. Jedoch sieht der EDÖB keine Erforderlichkeit dafür, dass die Transaktionsdaten von aktiven Abonnementen bei den Kundendaten gespeichert werden und später noch bis zu 6 Monate nach Ablauf des Abonnements in nicht anonymisierter Form aufbewahrt werden. Die Transaktionsdaten widerspiegeln ein Bewegungsprofil (getätigte Ein- und Austritte) des Badegastes und fallen mit dem neuen biometrischen Zugangskontrollsystem an. Diese Daten waren früher nicht vorhanden (auch nicht zu statistischen Auswertungen oder für persönliche Statistiken der Badegäste). Ihre Erhebung und Speicherung wirft zudem neu die Frage nach den Zugriffsrechten Dritter auf die Daten auf. Es besteht aus Sicht des EDÖB keine Notwendigkeit, diese neu anfallenden Daten, welche das Eintrittsverhalten des Badegastes widerspiegeln, in nicht anonymisierter Form bei den Kundendaten zu speichern. Die von der KSS geltend gemachten Zwecke der Erstellung von Eintritts- und Besucherstatistiken kann aus Sicht des EDÖB auch mit anonymisierten Transaktionsdaten erreicht werden. Gestützt auf die fehlende Notwendigkeit der Datenspeicherung und den Grundsatz der zeitlichen Verhältnismässigkeit fordert der EDÖB, dass die Transaktionsdaten nur in anonymisierter Form zu statistischen Zwecken erhoben werden und somit auf eine abonnementsbezogene Speicherung der Transaktionsdaten in der Datenbank der KSS verzichtet wird. Für die Templates ist aufgrund ihres sensiblen Charakters eine frühere Löschung als 7 – 14 Monate zu fordern. Der EDÖB erachtet eine Aufbewahrungsfrist von max. 3 Monaten für Templates von inaktiven Kundenkonten als verhältnismässig. Die Verkürzung der ursprünglich vorgeschlagenen Frist auf max. 3 Monate rechtfertigt sich einerseits durch den sensiblen Charakter der biometrischen Daten, welche eine frühestmögliche Löschung verlangt. Anderseits rechtfertigt sich diese Frist auch durch die Tatsache, dass ein erneutes Enrolment nach Ablauf der 3 Monate zu einer niedrigeren False Rejection Rate (FRR) führt. Die Integrität, d.h. die Richtigkeit der Daten (vgl. dazu auch Ziff. 5.7), ist nicht

14/34

zuletzt wegen der zu erwartenden Technologieverbesserung eher gewährleistet, wenn die Templates nicht wie vorgeschlagen 7 – 14 Monate, sondern max. 3 Monate gespeichert werden.

5.6 Zweckbindung der Datenbearbeitung 5.6.1 Ausgangslage Personendaten dürfen nur für den Zweck bearbeitet werden, welcher bei der Beschaffung angegeben worden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Da eine Änderung des Bearbeitungszwecks von den Betroffenen durch die zentrale Speicherung der biometrischen Daten nicht kontrollierbar ist, sind technische Lösungen vorzuziehen, welche die Zweckbindung ausreichend gewährleisten.

5.6.2 Beurteilung aus Sicht des EDÖB Die Erhebung der biometrischen Daten und die zentrale Speicherung der Daten erfolgt primär dazu, den Missbrauch von Dauerkarten (Saisonabonnemente und Jahreskarten) zu verhindern. Dank dem Einsatz der Biometrie kann auf das System mit Passbildern (Passbildabgleich) verzichtet werden, da keine manuelle Prüfung der Identität mehr erforderlich ist. Der Badegast identifiziert sich selbst durch das Einlesen des Fingerabdrucks beim Drehkreuz. Durch die zentrale Speicherung der Templates in der Datenbank ist eine Zweckentfremdung in der Bearbeitung dieser Daten nicht gänzlich ausgeschlossen. Dies unter anderem auch deshalb, weil die Daten sich nicht in der Nutzersphäre der Betroffenen befinden. Eine Zweckentfremdung im Sinne einer Verknüpfung mit anderen Datensammlungen oder eine Weitergabe an aussenstehende Dritte wäre möglich. Jedoch muss die Tatsache auch berücksichtig werden, dass keine Rohdaten, sondern Templates in der Datenbank abgelegt werden. Es besteht eine interne Weisung der KSS vom 21.07.2005 an alle Mitarbeiter, die besagt, dass „keine Daten von Gästen der KSS ohne richterlichen Beschluss weitergegeben werden dürfen“ (Interne Weisung Nr. 187 „Personendaten Fingerprint“). Insofern ist davon auszugehen, dass die Daten – ausser mit richterlichem Beschluss – nicht an Dritte weitergegeben oder zweckentfremdet werden. Trotz dieser internen Weisung ist aus Sicht des EDÖB unter dem Aspekt der Zweckbindung die dezentrale Speicherung der biometrischen Daten in der Nutzersphäre der Betroffenen – und nicht wie vorliegend eine zentrale Speicherung der Daten – vorzusehen (vgl. dazu auch die Bemerkungen zur inhaltlichen Verhältnismässigkeit in Ziff. 5.5.2).

5.7 Datenrichtigkeit (Zuverlässigkeit, Anwendbarkeit) 5.7.1 Ausgangslage Das Vergleichsverfahren zwischen Referenz- und aktuell präsentieren Daten (hier Templates der Fingerabdrücke) basiert auf Wahrscheinlichkeitsberechnungen und ergibt einen Übereinstimmungswert, der grösser als eine vordefinierte Schwelle sein muss, um die Person zu erkennen. Von dieser einzigen Schwelle sind die beiden Werte "False Rejection Rate (FRR)" und "False Acceptance Rate (FAR)" umgekehrt abhängig. Aus Gründen des Persönlichkeitsschutzes sollte vor allem die FAR vermindert werden, ohne aber die FRR zu stark zu beeinträchtigen. Die Wahl eines optimalen Schwellenwertes für eine ausreichende Zuverlässigkeit des gesamten biometrischen Systems ist aus diesem Grunde nicht einfach zu treffen. Nicht ausser acht gelassen werden darf auch die Tatsache, dass gewisse Anwender (aufgrund fehlender Gliedmassen, Verletzungen, Narben oder aufgrund des Alters, wie z.B. Kinder oder ältere Personen) keine oder zu wenig gute biometrische Merkmale vorweisen und ihre Authentifizierung miss-

15/34

lingen kann. Für diese Personen ist ein Alternativszenario, welches nicht zu einer Diskriminierung der Betroffenen führen darf, vorzusehen. 5.7.2 Beurteilung aus Sicht des EDÖB Aus Datenschutzgründen sollte die FAR vermindert werden, ohne aber die FRR zu stark zu beeinträchtigen. Zudem sollte ein optimaler Schwellenwert gewählt werden. Jedes biometrische System weist einen gewissen Prozentsatz an FAR auf. Die Authentifizierung kann infolgedessen nicht zu 100% zuverlässig erfolgen. Probleme ergeben sich insbesondere auch bei Personen, denen gewisse biometrische Merkmale fehlen oder nur schlecht lesbar vorhanden sind (Enrolment). Für solche Ausnahmen muss eine äquivalente Anwendbarkeit des Erkennungssystems geplant und eingesetzt werden. Die KSS führt dazu aus, dass in Abhängigkeit zur Qualität des Templates die Möglichkeit bestünde, die Templates mehrerer Finger eines Badegastes in der Datenbank abzulegen. Können von einem Badegast keine Templates generiert werden, so könne diesem Badegast auch ein Abonnement ohne Fingerabdruck- Verifizierung ausgestellt werden. Ferner führt die KSS aus, dass das Template nur ein Zusatzmerkmal sei und daher die FAR auf nahezu null minimiert werden könne. Im Zusammenhang mit der Transponderkarte werde nur eine Verifizierung und keine Identifizierung benötigt. Somit werde immer nur ein gespeichertes Template mit dem aktuell präsentierten Fingerabdruck verglichen. Abgesehen davon, dass der EDÖB der Ansicht ist, die zentrale Speicherung sei unverhältnismässig und daher eine dezentrale Speicherung mit der Datenbearbeitung in der Benutzersphäre einzuführen sei (vgl. die Bemerkungen in Ziff. 5.5.2), hat der EDÖB zur Datenrichtigkeit keine weiteren Bemerkungen.

5.8 Datensicherheit 5.8.1 Ausgangslage Gemäss Art. 7 DSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten gesichert werden. Zu gewährleisten sind insbesondere die Vertraulichkeit, die Verfügbarkeit sowie die Integrität der Personendaten. Diese Anforderungen sind dann nicht mehr gewährleistet, wenn ein fremdes „Drittgerät“ die Daten abhören oder manipulieren könnte. Die Datensicherheit liegt in der Verantwortung derjenigen Stelle, welche die Datenherrschaft über die Personendaten inne hat (Art. 8 Abs. 1 Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (VDSG; SR 235.11). Der Serverraum befindet sich im Keller der KSS im Tresorraum. Zum Tresorraum hat nur ein beschränkter Personenkreis Zutritt. Von der Arbeitsstation im Serverraum aus können alle statistischen Auswertungen gemacht werden. Die Benutzerberechtigungen werden von der Leiterfirma (d.h. von der KSS) verwaltet. Die Datenbank ist mittels Systembenutzer und Passwort gegen unbefugte Verwendung geschützt. Ferner sind die unterirdischen Fenster des Serverraumes mit Gittern gesichert. Die Transponderkarten haben eine Funkweite von einigen Zentimetern. Da auf diesen Karten derzeit keine Daten gespeichert werden, ist es gemäss Ausführungen der KSS nicht relevant, ob ein Fremdsystem den Karteninhalt auslesen kann. Denn es können weder Daten gewonnen noch verändert werden. Rapporte können nur durch den Systemlieferanten erstellt werden. Zwischen dem Systemlieferanten und der Betreiberin KSS wurde ein Geheimhaltungsvertrag abgeschlossen. Der Zugang zur Datenbank der KSS kann durch die Betreiberin für Wartungszwecke freigeschaltet werden. Die Feldverschlüsselung von der Oracle-Datenbank wird nicht benutzt. Somit sind die Templates unverschlüsselt gespeichert. Die Fernwartung des Systemlieferanten erfolgt via Modemanschluss. Es

16/34

existiert keine getrennte PROD-/TEST-Umgebung. Dadurch ist für den Systemlieferanten jede Art von SQL-Abfrage auf produktive Daten möglich.

5.8.2 Beurteilung aus Sicht des EDÖB Die Sensibilität und folglich das angemessenen Schutzniveau von biometrischen Templates kann aus heutiger Sicht nicht abschliessend beurteilt werden. Deshalb sind die Templates in verschlüsselter Form in einer Datenbank oder auf einer Smart Card abzulegen. Wie unter Ziff. 5.5.2 erläutert, sind die Templates der Kunden nicht zentral in der Datenbank sondern in der Nutzersphäre der betroffenen Personen, d.h. dezentral auf einer persönlichen Karte (Smart Card), zu speichern. Entsprechend müssen die Templates auf der Smart Card verschlüsselt werden. Bezüglich der (Fern-)Wartungsmöglichkeit des Systemlieferanten ist zu fordern, dass eine getrennte PROD-/TEST-Umgebung kreiert wird.

5.9 Auskunftsrecht 5.9.1 Ausgangslage Gemäss Art. 8 DSG kann jede Person vom Inhaber der Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Bei der KSS können Kunden jederzeit ihre Angaben an der Kasse einsehen bzw. einen Ausdruck davon verlangen. Die Kunden haben auch die Möglichkeit, ihre Angaben aktualisieren zu lassen. Möchte ein Kunde seine getätigten Eintritte einsehen, ist es möglich, anhand der Adresse Rückschlüsse auf die erworbenen Karten und somit auf die getätigten Eintritte zu ziehen. Diese Informationen können für jeden einzelnen Kunden ausgedruckt werden. So wird für ihn ersichtlich, ob sich der Kauf der Dauerkarte gelohnt hat. 5.9.2 Beurteilung aus Sicht des EDÖB Das Auskunftsrecht der Badegäste wird gewährleistet. Der EDÖB hat dazu keine Bemerkungen.

17/34

6. Ergebnisse Aufgrund der Auswertung der eingereichten Unterlagen und Dokumente sowie gestützt auf die durchgeführte Kontrolle vom 21. November 2005 gemäss Art. 29 DSG, gelangt der EDÖB zu einer kritischen Gesamtbeurteilung des biometrischen Erfassungssystems. Die Datenschutzkontrolle hat gezeigt, dass die seit der Einführung des neuen biometrischen Zugangskontrollsystems erfolgte Bearbeitung von Personendaten durch die KSS nicht in allen Aspekten datenschutzkonform verläuft. Der EDÖB ist in seiner Kontrolle auf Sachverhalte gestossen, welche aus datenschutzrechtlicher Sicht einer Verbesserung resp. Änderung bedürfen. Ausgehend von diesem Gesamtbild erlässt der EDÖB zuhanden der KSS mit Sitz in Schaffhausen seine Gesamtbeurteilung in folgender Form: • Feststellungen; • Verbesserungsvorschläge; oder • Empfehlungen im Sinne des Art. 29 Abs. 3 DSG.

6.1 Biometrische Daten als Personendaten Bei biometrischen Daten der Fingerabdrücke handelt es sich um Personendaten gemäss Art. 3 lit. a DSG. Biometrische Daten in Form von Rohdaten oder Templates machen eine Person identifizierbar resp. bestimmbar. Ihre Erhebung hinterlässt in der Regel – insbesondere bei der Erhebung von Fingerabdrücken – (Daten-)Spuren. Die Erhebung von Rohdaten oder Templates ist somit geeignet, ein Bewegungsprofil der betroffenen Person zu erstellen. Gestützt auf diese Tatsache besteht bei der Erhebung biometrischer Daten für die betroffene Person ein hohes Potenzial für Persönlichkeitsverletzungen.

6.2 Zweck der Datenbearbeitung Jede Bearbeitung von Personendaten stellt einen Eingriff in das Recht auf informationelle Selbstbestimmung gemäss Art. 13 Abs. 2 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV; SR 101) dar. Daher bedarf die Bearbeitung einer besonderen Rechtfertigung. Praktikabilitätserwägungen oder allgemeine Kundenfreundlichkeit stellten grundsätzlich keine ausreichende Rechtfertigung für die Bearbeitung biometrischer Daten dar. Gemäss Auskunft der KSS geht es bei der Erfassung der biometrischen Daten ausschliesslich um die automatisierte Missbrauchsbekämpfung von Dauerkarten (Saisonabonnemente und Jahreskarten). Der Vorteil für die KSS läge darin, dass keine manuelle Prüfung der Identität beim Badebesuch (z.B. visuelle Kontrolle eines auf der Karte angebrachten Fotos) vorgenommen werden müsse. Das neue biometrische Zugangskontrollsystem ersetzt das veraltete Kartensystem, bei dem es zu zahlreichen Missbräuchen gekommen war. Gemäss Angaben der KSS hat sich seit Einführung des neuen Systems der Umsatz von Januar 2005 bis November 2005 um gute 8% gesteigert, was mit der fehlenden Missbrauchsmöglichkeit in Zusammenhang steht. Ein weiterer Vorteil besteht für die KSS darin, dass mit dem neuen System nun auch statistische Auswertungen möglich sind, die früher nicht durchgeführt werden konnten. So verlangte z.B. die Geschäftsprüfungskommission Schaffhausen zur Kontrolle der Subventionsvergaben von der KSS eine detaillierte Auflistung der Badegäste, unterteilt nach geographischer Herkunft. Diese Auflistung kann nun von der KSS erstellt werden. Das neue biometrische Zugangskontrollsystem der KSS verfolgt nachvollziehbare Zwecke. Dennoch möchte der EDÖB seine ernsthaften Bedenken bezüglich der Frage äussern, ob es nicht andere Alternativen zur Missbrauchsvermeidung geben würde, welche weniger stark in die Persönlichkeitsrech-

18/34

te der Betroffenen eingreifen würden (vgl. dazu auch das Ergebnis der Verhältnismässigkeitsprüfung unter Ziff. 6.5.1 sowie die Empfehlung Nr. 1).

6.3 Rechtmässigkeit der Datenbeschaffung/Einwilligung der Betroffenen Die Bearbeitung biometrischer Daten bedarf eines Rechtfertigungsgrundes (Art. 12 und 13 DSG). Als Rechtfertigung kommt im vorliegenden Fall die Einwilligung der Betroffenen in Frage. Grundsätzlich wurde die Einwilligung der Betroffenen persönlich beim Erwerb einer neuen bzw. beim Umtausch einer bestehenden Dauerkarte eingeholt. Zusätzlich hat der Systemlieferant einen Flyer erarbeitet, der Informationen zur Erfassung der biometrischen Daten bei der KSS sowie zum Einsatz von Biometrie im Allgemeinen enthält. Aus Sicht des EDÖB fehlen auf diesem Flyer jedoch wichtige Informationen, wie insbesondere die Bearbeitungsmodalitäten der biometrischen Daten. Verbesserungsvorschlag Nr. 1: Aus Sicht des EDÖB muss der Informationsgehalt des Flyers hinsichtlich der Bearbeitungsmodalitäten der biometrischen Daten stark verbessert werden. Aufgeführt werden müssen die Hauptpunkte der Datenbearbeitung, wie z.B. wo und für wie lange die Daten gespeichert werden, insbesondere was mit den Templates und Transaktionsdaten geschieht, wer Zugriff auf die Daten hat und an wen sie – wenn überhaupt – weiter gegeben werden etc. Des Weiteren ist der EDÖB der Ansicht, dass der Flyer von der KSS – und nicht vom Systemlieferanten – unterschrieben und eine Versionenkontrolle auf dem Blatt festgehalten werden sollte. Ferner ist der Flyer jedem Kunden vor dem Enrolment automatisch vom Kassenpersonal und ohne Nachfragen des Kunden auszuhändigen. Dem Badegast ist genügend Zeit zur Verfügung zu stellen, den Flyer vor dem Enrolment durchzulesen. Weitere Flyer sind griffbereit an der Kassentheke aufzulegen.

Kunden, die ihre biometrischen Daten nicht einlesen lassen wollen, können keine Dauerkarten mehr erwerben. Sie müssen entweder herkömmliche Einzeleintritte oder 10-er Abonnemente kaufen, was unter Umständen teurer ist. Aus Gleichheitsgründen bietet die KSS für solche Kunden keine gleichwertige Alternative für die neuen, mit biometrischen Daten verknüpften Dauerkarten an. Bei Personen, deren biometrische Daten aus technischen Gründen gar nicht oder nur schlecht eingelesen werden können, erlaubt die Systemlösung auch Dauerkarten ohne Templates oder Karten mit mehreren Templates auszustellen. Für den Einsatz von Fingerabdrücken in einem Bereich wie dem vorliegenden, an dem keine Sicherheitsaspekte sondern die Missbrauchsverhinderung im Vordergrund stehen, besteht aus Sicht des EDÖB keine Rechtfertigung dafür, dass das informationelle Selbstbestimmungsrecht der Betroffenen in der vorliegenden Art und Weise eingeschränkt wird. Wer nicht bereit ist, seine Fingerabdrücke für die Dauerkarte einlesen zu lassen, sollte daher – gleich wie bei Personen, deren Daten aus individuellen oder technischen Gründen nicht eingelesen werden können – die Möglichkeit haben, auf eine andere Form von Dauerkarte ohne Fingerabdruck-Verifizierung zurückgreifen zu können.

19/34

Empfehlung Nr. 1: Der EDÖB erlässt die Empfehlung, dass für Personen, die nicht bereit sind, ihre biometrischen Daten für die Ausstellung einer Dauerkarte einlesen zu lassen, die Möglichkeit besteht, auf eine andere Form von Dauerkarte ohne Fingerabdruck-Verifizierung zurückgreifen zu können. Diesen Personen ist in Zukunft, jedoch spätestens ab 1. Mai 2007 eine kostengleiche Alternative anzubieten.

6.4 Bearbeitung nach Treu und Glauben/Transparenz Vor dem Kauf einer Dauerkarte werden die Kunden auf die Erhebung der biometrischen Daten aufmerksam gemacht. Das Enrolment erfolgt ausschliesslich unter Mitwirkung des Kunden. Ohne sein Zutun können bei der KSS keine biometrischen Daten erhoben werden. Die Datenbearbeitung erfolgt in diesem Punkt transparent und ist für den Betroffenen erkennbar. Jedoch muss bemängelt werden, dass bei der Sachverhaltsabklärung des EDÖB vor Ort keine Info- Flyer in Kassennähe auflagen und auch sonst nicht zur Hand waren. Es ist davon auszugehen, dass derzeit die Badegäste sich erst nach dem Flyer erkundigen müssen resp. sie die Informationen auf dem Flyer nicht erhalten. Für eine möglichst transparente Datenbearbeitung sollte neben den mündlichen Auskünften des Kassenpersonals den Badegästen auch automatisch ein Flyer mitgegeben werden, auf dem umschrieben ist, was mit ihren Personendaten geschieht. Es kann in diesem Punkt auf den Verbesserungsvorschlag Nr. 1 verweisen werden. Hier besteht aus Sicht des EDÖB eine ungenügende Aufklärung der Kunden.

6.5 Verhältnismässigkeit der Datenbearbeitung 6.5.1 Verhältnismässigkeit in inhaltlicher Hinsicht Der Einsatz biometrischer Verfahren im Privatbereich stellt je nach Ausgestaltung im konkreten Einzelfall einen mehr oder weniger intensiven Eingriff in die Persönlichkeitsrechte der Betroffenen dar. Grundsätzlich sind daher vor dem Einsatz biometrischer Verfahren immer auch andere geeignete Massnahmen zu überprüfen, welche weniger in die Grundrechte der Betroffenen eingreifen und mit denen der angestrebte Zweck ebenfalls erreicht werden kann. Des Weiteren muss schon bei der Auswahl und Ausgestaltung des biometrischen Verfahrens darauf geachtet werden, ein möglichst datensparsames System auszuwählen, dass in einem vernünftigen Verhältnis zum angestrebten Zweck steht. Im vorliegenden Fall geht es um die Eintrittskontrolle zu einer Freizeitanlage. Die Biometrie wird hier zur Verifizierung der Dauerkartenbesitzer eingesetzt. Datensparsamkeit erreicht man, indem nur die unbedingt zur Verifizierung notwendigen biometrischen Daten erhoben werden. Für den Einsatz des neuen Zugangskontrollsystems werden aus den Fingerabdrücken der Badegäste Templates generiert und diese zentral in einer Datenbank abgelegt. Rohdaten (d.h. das Originalabbild des Fingerabdrucks) werden keine erhoben. Die Beschränkung der Speicherung biometrischer Daten auf Templates, wie dies von der KSS vollzogen wird, ist unter dem Gesichtspunkt der Datensparsamkeit verhältnismässig und zu begrüssen.

20/34

Die Erstellung einer Kopie des eingescannten Fingerabdruckbildes wäre derzeit technisch zwar noch möglich. Der Systemlieferant hat dem EDÖB aber versichert, dass diese Möglichkeit zukünftig von der SW-API entfernt werden könnte. Verbesserungsvorschlag Nr. 2: Der EDÖB schlägt vor, dass die KSS vom Systemlieferanten verlangt, dass die Möglichkeit der Erstellung einer Kopie des eingescannten Fingerabdruckbildes von der SW-API entfernt wird. Dadurch wird sichergestellt, dass kein Abbild des Fingerabdruckes (Rohdatum) vom System kopiert und gespeichert werden kann.

Nebst den Templates werden in der Datenbank auch die Personalien der Kunden sowie die Daten des erstellten Abonnements (Kartendatensatz) zentral gespeichert. Auf der Transponderkarte selbst sind keine Daten erfasst. Die Transponderkarte besitzt eine einmalige Karten-ID. Beim Einlesen der Karte am Drehkreuz wird über die Karten-ID das unter dieser ID abgelegte Template (= Referenzdatum) aus der Datenbank ermittelt. Stimmen das aktuell generierte Template des anwesenden Badegastes mit dem Referenzdatum überein, so öffnet sich das Drehkreuz und der korrekt verifizierte Eintritt wird protokolliert. Biometrische Daten sind dauerhaft personengebunden und sind geeignet, von der betroffenen Person ein Bewegungsprofil zu erstellen. Aus diesem Grund sollten die biometrischen Daten – gerade wenn es um so heikle Bereiche wie Fingerabdrücke geht – im Einflussbereich der betroffenen Person resp. des Nutzers gespeichert werden. Der Grundsatz der inhaltlichen Verhältnismässigkeit erfordert, dass bei biometrischen Systemen, die auch ohne zentrale Speicherung funktionsfähig sind, die biometrischen Merkmale möglichst nicht in einer Datenbank gespeichert werden sollten, sondern nur auf einem Medium, das ausschliesslich dem Benutzer zugänglich ist. Insbesondere beim Einsatz der Biometrie zur Eintrittskontrolle in eine Freizeitanlage muss aus Gründen des Persönlichkeits- und Datenschutzes auf eine zentrale Speicherung verzichtet werden. Nach Ansicht des EDÖB wird beim Einsatz von Biometrie im Privatbereich der Persönlichkeitsschutz der Betroffenen am ehesten gewahrt, indem 1. die biometrischen Daten auf einem Sicherheitsmedium, das sich in der alleinigen Kontrolle der betroffenen Person befindet, auslesesicher gespeichert werden; 2. die betroffene Person jeden Zugriff auf die Daten explizit und bewusst freigeben muss; und 3. die Verifizierung der Identität ausschliesslich auf diesem Sicherheitsmedium stattfindet, so dass die biometrischen Daten zu keinem Zeitpunkt die gesicherte Umgebung des Mediums und die Kontrolle der betroffenen Person verlassen.

Empfehlung Nr. 2: Die zentrale Speicherung der biometrischen Daten in der Freizeitanlage der KSS Schaffhausen ist unter dem Blickwinkel des Grundsatzes der Datensparsamkeit und des Grundsatzes der möglichst schonenden Bearbeitung von Personendaten unverhältnismässig. Der EDÖB erlässt daher die Empfehlung, dass in Zukunft, jedoch spätestens ab 1. Mai 2007 auf die zentrale Speicherung der biometrischen Daten in Form von Templates der Fingerabdrücke verzichtet wird und diese biometrischen Daten –

21/34

auch diejenigen, welche bereits zentral erfasst wurden – auf einer Smart Card, welche in der Benutzersphäre und unter Kontrolle der betroffenen Person verbleibt, abgelegt werden.

6.5.2 Verhältnismässigkeit in zeitlicher Hinsicht Die Personalien und die Templates werden derzeit von der KSS nicht gelöscht. Ebenfalls nicht gelöscht werden die korrekt verifizierten Eintritte (Transaktionen), die mit einer Dauerkarte getätigt werden. Auf Aufforderung des EDÖB hat die KSS in Absprache mit dem Systemlieferanten Vorschläge für Löschfristen eingereicht. Für die Kundendaten wird eine Löschfrist von 18 – 24 Monate nach letztmalig erfolgter Aktualisierung der Daten vorgeschlagen. Nach Ablauf dieser Zeit könne davon ausgegangen werden, dass ein Badegast nicht mehr zu den Dauerkunden zähle. Dieser Zeitrahmen ist aus Sicht des EDÖB verhältnismässig. Empfehlung Nr. 3: Der EDÖB erlässt die Empfehlung, dass für die Kundendaten Löschfristen eingeführt werden. Der in Absprache mit dem Systemlieferanten von der KSS eingereichte Vorschlag für die Löschung der Kundendaten (Löschung nach 18 – 24 Monaten) ist verhältnismässig. Die KSS hat diese Löschfrist bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vorzunehmen.

Für die Transaktionsdaten wird vorgeschlagen, dass diejenigen Transaktionsdaten, welche nicht mehr zu einem aktuellen/aktiven Abonnement gehören, nach 3 – 6 Monaten anonymisiert werden. Transaktionsdaten von aktiven Abonnementen sollen gemäss Vorschlag der KSS weiterhin in nicht anonymisierter Form bei den Kundendaten, und damit abonnementsbezogen, gespeichert bleiben. Der EDÖB sieht keine Erforderlichkeit darin, die Transaktionsdaten in nicht anonymisierter Form festzuhalten und erachtet ihre Speicherung bei den Kundendaten als unverhältnismässig. Empfehlung Nr. 4: Der EDÖB erlässt die Empfehlung, dass die Transaktionsdaten anonymisiert werden. Die von der KSS in Absprache mit dem Systemlieferanten vorgeschlagene weitere Aufbewahrung der Transaktionsdaten von aktiven Abonnementen bei den Kundendaten erscheint dem EDÖB nicht erforderlich und daher unverhältnismässig. Zu statistischen Zwecken können die Transaktionsdaten in anonymisierter Form aufbewahrt werden.

22/34

Die KSS hat die Anonymisierung der Transaktionsdaten bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vorzunehmen. Sofern den Kunden der KSS auch in Zukunft die Möglichkeit offeriert werden soll, ihre Eintritte für persönliche Auswertungen kontrollieren zu können, so wäre dieses Kundenangebot bei der Umsetzung der Empfehlung Nr. 2 in das neue Systemkonzept einzubauen. Die dafür erforderlichen abonnementsbezogenen Transaktionsdaten dürfen dann aber ausschliesslich auf der Smart Card in der Nutzersphäre des Badegastes festgehalten werden.

Für die Templates wird eine Löschfrist von 7 – 14 Monate vorgeschlagen. Bei dieser Zeitspanne könne ein Kunde eine Abonnementsdauer (6 oder 12 Monate) aussetzen, ohne dass ein neues Template erfasst werden müsse. Bei aktiven Abonnementen wird vorgeschlagen, dass ein einmal erfasstes Template ein maximales Alter von 3 Jahren nicht überschreiten kann. Ein Template, welches vor mehr als 3 Jahren eingelesen wurde, muss durch ein neues Enrolment ersetzt werden. Das alte (abgelaufene) Template wird nicht gelöscht, sondern kann nicht mehr zur Ausstellung eines neuen Abonnements verwendet werden. Empfehlung Nr. 5: Der EDÖB erlässt die Empfehlung, dass bis zum Zeitpunkt, an dem die Templates dezentral auf Smart Cards abgelegt werden (d.h. bis zur Umsetzung der Empfehlung Nr. 2), Löschfristen für die derzeit noch zentral gespeicherten Templates eingeführt werden. Die von der KSS in Absprache mit dem Systemlieferanten vorgeschlagene Löschfrist von 7 – 14 Monaten für die zentral gespeicherten Templates ist zu kürzen. Verhältnismässig erscheint dem EDÖB eine diesbezügliche Frist von max. 3 Monaten. Die KSS hat diese Löschfrist bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vorzunehmen. Die Frist von 3 Jahren für die Nicht-Wiedererkennung alter Templates erscheint verhältnismässig.

Die neu einzuführenden Löschfristen sind zur Verbesserung der Transparenz der Datenbearbeitung im Info-Flyer darzulegen (vgl. auch Verbesserungsvorschlag Nr. 1).

23/34

6.6 Zweckbindung der Datenbearbeitung Die KSS verfügt über eine interne Weisung datierend vom 21.07.2005, die allen Mitarbeitern untersagt, Daten von Kunden der KSS ohne richterlichen Beschluss weiter zu geben. Trotz dieser internen Weisung kann durch die derzeit praktizierte zentrale Speicherung der Templates eine Zweckentfremdung (d.h. eine über die Missbrauchsverhinderung hinausgehende Datenbearbeitung) dieser heiklen Daten nicht gänzlich ausgeschlossen werden. Eine Zweckentfremdung im Sinne einer Verknüpfung mit anderen Datensammlungen oder eine Weitergabe an aussenstehende Dritte wäre möglich. Da eine Änderung des Bearbeitungszwecks der biometrischen Daten von den Betroffenen durch die zentrale Speicherung der Daten nicht kontrollierbar ist, sind technische Lösungen vorzuziehen, welche die Zweckbindung ausreichend gewährleisten. Unter dem Aspekt der Zweckbindung ist die dezentrale Speicherung der biometrischen Daten auf einer Smart Card in der Nutzersphäre der Betroffenen und nicht wie vorliegend eine zentrale Speicherung der Daten vorzusehen. Es kann an dieser Stelle auf die Empfehlung Nr. 2 verwiesen werden.

6.7 Datenrichtigkeit (Zuverlässigkeit, Anwendbarkeit) Aus Datenschutzgründen sollte die False Acceptance Rate (FAR) vermindert werden, ohne aber die False Rejection Rate (FRR) zu stark zu beeinträchtigen. Gleichzeitig sollte ein optimaler Schwellenwert gewählt werden. Jedes biometrische System weist einen gewissen Prozentsatz an FAR auf. Die Authentifizierung kann infolgedessen nicht zu 100% zuverlässig erfolgen. Für Personen, denen biometrische Merkmale fehlen oder deren biometrische Merkmale bspw. aufgrund des Alters, Narben oder sonstiger Gründe nicht oder nur schlecht eingelesen werden können, muss eine äquivalente Anwendbarkeit des Erkennungssystems geplant und eingesetzt werden. Die KSS führt dazu aus, dass in Abhängigkeit zur Qualität des Templates die Möglichkeit bestünde, die Templates mehrerer Finger eines Kunden in der Datenbank abzulegen. Könnten von einem Kunden keine Templates generiert werden, so könne diesem auch ein Abonnement ohne Fingerabdruck- Verifizierung ausgestellt werden. Abgesehen davon, dass der EDÖB der Ansicht ist, die zentrale Speicherung sei unverhältnismässig und daher eine dezentrale Speicherung auf einer Smart Card in der Nutzersphäre der betroffenen Person einzuführen (vgl. Empfehlung Nr. 2) hat der EDÖB zur Datenrichtigkeit keine Bemerkungen

6.8 Datensicherheit Abgesehen von den Templates, sind die in der Datenbank gespeicherten Daten ausreichend vor unbefugten Zugriffen geschützt (vergitterter, verschlossener Raum, Systemnutzer und Passwort). Die Sensibilität und folglich das angemessenen Schutzniveau von biometrischen Templates kann aus heutiger Sicht nicht abschliessend beurteilt werden. Deshalb sind die Templates in verschlüsselter Form in einer Datenbank oder auf einer Smart Card abzulegen. Verbesserungsvorschlag Nr. 3: Der EDÖB regt an, dass ÇáÉ=qÉãéä~íÉë=áå=îÉêëÅÜäΩëëÉäíÉê=cçêã= ~ÄÖÉäÉÖí=ïÉêÇÉåK=

24/34

Die sich derzeit im Einsatz befindlichen Transponderkarten haben eine Funkreichweite von einigen Zentimetern. Da keine Daten auf der Transponderkarte gespeichert sind, ist diese Funkreichweite heute ohne Bedeutung. Die (Fern-)Wartung erfolgt durch den Systemlieferanten. Der Zugang zur Datenbank kann durch die KSS freigeschaltet werden, jedoch besteht ein Geheimhaltungsvertrag zwischen dem Systemlieferanten und der KSS. Die Fernwartung des Systemlieferanten erfolgt via Modemanschluss. Es existiert keine getrennte PROD-/TEST-Umgebung. Dadurch ist für den Systemlieferanten jede Art von SQL- Abfrage auf produktive Daten möglich.

Verbesserungsvorschlag Nr. 4: Der EDÖB regt an, dass bezüglich der (Fern- )Wartungsmöglichkeit eine getrennte PROD-/TEST-Umgebung kreiert wird, damit das Wartungspersonal nur auf die Testdaten zugreifen kann.

6.9 Auskunftsrecht Ein Badegast hat jederzeit die Möglichkeit, seine persönlichen Angaben aktualisieren zu lassen. Zudem kann auf Wunsch ein Ausdruck aller getätigten Eintritte in das Hallenbad erstellt werden. Das Auskunftsrecht der Kunden wird gewährleistet. Der EDÖB hat dazu keine Bemerkungen.

25/34

7. Schlussfolgerungen 7.1 Bezüglich der Kontrolle der Erhebung biometrischer Daten Zum Zweck der Eindämmung von Missbräuchen bei der Benutzung persönlicher, nicht übertragbarer Dauerkarten hat die KSS im Januar 2005 ein neues Zugangskontrollsystem, bei dem neben den Personalien der Kunden auch biometrische Daten in Form von Vorlagen (= Templates) der Fingerabdrücke erhoben und gespeichert werden, eingeführt. Langfristig ist ein Ausbau des Systems für weitere Sport- und Freizeitangebote (wie Freibad im Sommer oder Eisbahn im Winter) geplant. Die durchgeführte Datenschutzkontrolle konnte dem EDÖB einen vertieften Einblick in das neue Zugangskontrollsystem liefern. Die vom Systemlieferanten und der KSS zur Verfügung gestellten Unterlagen und Dokumente haben es dem EDÖB erlaubt, die damit verbundene Datenbearbeitung auf die Einhaltung der Datenschutzbestimmungen zu überprüfen. Der EDÖB gelangt zu einer kritischen Gesamtbeurteilung des biometrischen Zugangskontrollsystems. Die Datenschutzkontrolle hat gezeigt, dass die seit der Einführung des neuen biometrischen Erfassungssystems erfolgte Bearbeitung von Personendaten durch die KSS nicht in allen Aspekten datenschutzkonform verläuft. Wo Änderungen vorgenommen werden müssen oder wo Verbesserungsbedarf besteht, hat dies der EDÖB mit Begründung erläutert.

7.2 Verfahren und weiteres Vorgehen Im Januar 2005 hat die KSS zum Zweck der Missbrauchseindämmung bei der Benutzung persönlicher, nicht übertragbarer Dauerkarten ein neues Zugangskontrollsystem mit biometrischen Daten (Templates des Fingerabdrucks) eingesetzt. Im Sommer 2005 wurde nach einer halbjährigen Pilotphase das neue System definitiv eingeführt und wird voraussichtlich für weitere Sport- und Freizeitangebote der KSS zur Anwendung gelangen. Die Einführung des neuen Zugangskontrollsystems mit der Aufforderung, zum Erwerb oder Erneuerung einer Dauerkarte den Fingerabdruck in einen Scanner einlesen und in Form eines Templates zentral in einer Datenbank speichern zu lassen, wurde nicht von allen Badegästen akzeptiert. In Anbetracht der Sensibilität der bearbeiteten Personendaten und der Reaktionen aus der Bevölkerung erwies sich die Überprüfung des neuen Systems der KSS auf die Einhaltung der Datenschutzbestimmungen als sehr bedeutungsvoll. Die vom EDÖB gemachten Feststellungen, erlassenen Empfehlungen und Verbesserungsvorschläge sind richtungweisend für weitere Privatanwender biometrischer Systeme im Bereich von Freizeit- oder ähnlichen Anlagen. Aus besagten Gründen besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für diese Art der Datenerhebung zu sensibilisieren und sie insbesondere über die erfolgte Datenschutzkontrolle bei der KSS und die diesbezüglichen Ergebnisse zu informieren. Gestützt auf Art. 30 Abs. 2 DSG wird der EDÖB daher den vorliegenden Kontrollbericht betreffend die Erhebung biometrischer Daten beim Erwerb einer Dauerkarte in den Sport- und Freizeitanlagen KSS Schaffhausen in einer angepassten Version der Öffentlichkeit zugänglich machen und ihn auf seiner Website (www.edoeb.admin.ch) publizieren. Selbstverständlich erfolgt die Publikation unter dem Vorbehalt, dass aus Sicht der KSS (nach erfolgter Absprache mit dem Systemlieferanten) keine vertraulichen Daten, welche Geschäftsgeheimnisse offenbaren oder die Konkurrenzfähigkeit beeinflussen könnten, bekannt gegeben werden. Die KSS wird daher aufgefordert, den Kontrollbericht auf solche vertraulichen Inhalte hin zu überprüfen und dem EDÖB mit Frist von 30 Tagen entsprechend schriftliche Rückmeldung zu erstatten.

26/34

Der vorliegende Kontrollbericht enthält eine Reihe von Feststellungen sowie Verbesserungsvorschläge, welche vom EDÖB auf Basis der durchgeführten Kontrolle verfasst wurden. Die KSS wird gebeten, vorliegenden Kontrollbericht sowie die darin enthaltenen Feststellungen und Vorschläge zur Kenntnis zu nehmen und dem EDÖB mit Frist von 30 Tagen darüber zu informieren, ob von Seiten der KSS irgendwelche Bemerkungen dazu vorliegen und ob, und wenn ja, mit welchen Massnahmen und innerhalb welcher Frist die Vorschläge des EDÖB umgesetzt werden. Darüber hinaus enthält der vorliegende Kontrollbericht Empfehlungen im Sinne des Art. 29 Abs. 3 DSG, welche sich an die KSS Sport- und Freizeitanlagen, Breitenaustrasse 117, Postfach 27, 8204 Schaffhausen, richten. Die KSS teilt dem EDÖB mit Frist von 30 Tagen mit, ob sie diese Empfehlungen akzeptiert oder nicht. Falls die Empfehlungen abgelehnt oder nicht befolgt werden, kann der E- DÖB die Angelegenheit der Eidgenössischen Datenschutzkommission zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).

Bern, den 11. April 2006 EIDGENÖSSISCHER DATENSCHUTZ- UND ÖFFENT- LICHKEITSBEAUFTRAGTER Der Beauftragte:

Hanspeter Thür

27/34

Anhang vom 6. November 2006 zum Schlussbericht 1. Vorbemerkung Der vorliegende Anhang widerspiegelt die Stellungnahmen von Seiten KSS auf den Schlussbericht vom 11. April 2006 des EDÖB. Die Stellungnahmen zu den fünf Empfehlungen wurden dem EDÖB nach zweimalig gewährter Fristverlängerung am 10. August 2006 eingereicht. Die vom EDÖB verlangte Nachlieferung der Stellungnahmen zu den vier Verbesserungsvorschlägen sowie die Angaben über vertrauliche Inhalte des Berichtes erfolgten am 19. Oktober 2006. Nach eingehender Prüfung der Stellungnahmen hat der EDÖB die Antworten und Vorschläge der KSS ausgewertet. Die Reaktionen des EDÖB auf die Auswertungen sind ebenfalls in vorliegendem Anhang wiedergegeben. Der Anhang bildet integralen Bestandteil des Schlussberichtes. Der EDÖB hat am 6. November 2006 die Datenschutzkontrolle gemäss Art. 29 DSG betreffend der Erhebung biometrischer Daten beim Erwerb einer Dauerkarte in den Sport- und Freizeitanlagen KSS Schaffhausen für abgeschlossen erklärt.

2. Auswertung der Stellungnahmen der KSS 2.1 Rechtmässigkeit der Datenbeschaffung/Einwilligung der Betroffenen

Verbesserungsvorschlag Nr. 1: Aus Sicht des EDÖB muss der Informationsgehalt des Flyers hinsichtlich der Bearbeitungsmodalitäten der biometrischen Daten stark verbessert werden. Aufgeführt werden müssen die Hauptpunkte der Datenbearbeitung, wie z.B. wo und für wie lange die Daten gespeichert werden, insbesondere was mit den Templates und Transaktionsdaten geschieht, wer Zugriff auf die Daten hat und an wen sie – wenn überhaupt – weiter gegeben werden etc. Des Weiteren ist der EDÖB der Ansicht, dass der Flyer von der KSS – und nicht vom Systemlieferanten – unterschrieben und eine Versionenkontrolle auf dem Blatt festgehalten werden sollte. Ferner ist der Flyer jedem Kunden vor dem Enrolment automatisch vom Kassenpersonal und ohne Nachfragen des Kunden auszuhändigen. Dem Badegast ist genügend Zeit zur Verfügung zu stellen, den Flyer vor dem Enrolment durchzulesen. Weitere Flyer sind griffbereit an der Kassentheke aufzulegen.

Stellungnahme KSS: Der Systemlieferant und der Betreiber werden den vorhandenen Flyer vollständig überarbeiten, wobei die vom EDÖB erwähnten Punkte berücksichtigt werden. Die KSS bietet an, den Flyer zur Durchsicht (und allenfalls zur Ergänzung) dem EDÖB zukommen zu lassen.

28/34

Weiter wird ein Ablauf und Organisationsdiagramm für das Kassenpersonal erstellt, aus dem hervorgeht, wie bei der Herausgabe eines Abonnements (mit biometrischen Daten) vorzugehen ist.

Reaktion EDÖB Der Vorschlag wird umgesetzt. Der EDÖB erhält eine Version des neuen Flyers. Es sind keine weiteren Schritte nötig.

Stellungnahme KSS: Es wird mit der heute eingesetzten Technik immer wieder Personen geben, bei denen keine biometrischen Daten, in der notwendigen Güte, erfasst werden können. Weiter gibt es Besucher, die den Vorteil der automatisierten Identitätsprüfung auf Basis einer biometrisch unterstützten Zutrittslösung nicht nutzen wollen. Damit diesen Personengruppen die gleichen Tarifmöglichkeiten offen stehen, werden Änderungen in den Abläufen bzw. Nutzungsbestimmungen notwendig. Die KSS schlägt folgende Massnahmen vor: Jeder Badegast wird beim Erwerb einer Dauer- bzw. Saisonkarte über die Erfassung der biometrischen Daten informiert. Möchte der Badegast auf den Vorteil der automatischen biometrischen Identifizierung durch das Eintrittssystem verzichten, besteht neu die Möglichkeit sich eine Karte ohne biometrische Merkmale auszustellen. Diese Karten erhalten aber keinen automatischen Zutritt zum Areal, sondern die Benutzer müssen sich an der bedienten Kasse im Hallenbad oder Freibad als rechtmässige Besitzer der Karte ausweisen. Dies wird vom Kassenpersonal anhand der Inhaberdaten (Sichtkontrolle), die zu der Karte gespeichert werden, verifiziert. Im Zweifelsfall wird die Identität mittels Personalausweis überprüft. Diese kostengleiche Alternative wird ab 15. September 2006 eingeführt. Somit können alle Kunden, die ihre Dauerkarte verlängern, persönlich über die Neuerung informiert werden. Die alternative Lösung ist insofern eingeschränkt, als der Zugang nur über die bediente Kasse erfolgen kann.

Reaktion EDÖB Die Empfehlung wird umgesetzt. Es sind keine weiteren Schritte nötig.

29/34

2.2 Verhältnismässigkeit in inhaltlicher Hinsicht

Verbesserungsvorschlag Nr. 2: Der EDÖB schlägt vor, dass die KSS vom Systemlieferanten verlangt, dass die Möglichkeit der Erstellung einer Kopie des eingescannten Fingerabdruckbildes von der SW-API entfernt wird. Dadurch wird sichergestellt, dass kein Abbild des Fingerabdruckes (Rohdatum) vom System kopiert und gespeichert werden kann.

Stellungnahme KSS: Dieser Vorschlag ist gemäss Angaben der KSS bereits erledigt, soweit es den Bediener betrifft und wird bei einem der nächsten Updates eingespielt.

Reaktion EDÖB Der Vorschlag ist umgesetzt. Es sind keine weiteren Schritte nötig.

Stellungnahme KSS: Zurzeit werden bei der KSS die biometrischen Daten zentral in einer Datenbank gespeichert. Die Templates sollen nun mit dem Kunden mitgeführt werden. Dazu ist es notwendig, die Daten auf die Karte zu speichern. Dies ist aber nur möglich, wenn - die Karten (bei KSS Transponderkarten) vorhanden sind, die beschriftet werden können; und - genügend Speicherplatz vorhanden ist, um die Daten auf der Karte zu speichern. Zurzeit werden in der KSS (aus Kostengründen) nur lesende Medien eingesetzt. Somit müssen (für Dauerkarten) vorerst neue beschreibbare Medien beschafft werden.

30/34

Die KSS schlägt folgende Massnahmen vor: Die Dauerkarten werden durch beschreibbare Medien ersetzt. Die Software wird so angepasst, dass die Daten auf der Karte gespeichert werden können. Nachdem alle Karten umgestellt oder abgelaufen sind können alle restlichen Templates aus der Datenbank gelöscht werden. In der Übergangszeit werden die Templates redundant geführt. Um die Daten auf der Karte zu speichern, muss die Software in wesentlichen Bereichen umprogrammiert werden. Programmieren, Testen und die Inbetriebnahme kann bis zum 1. Mai 2007 garantiert werden. Ab diesem Datum wird die Software in der Lage sein, die Templates auf die Karte zu speichern. Die Einführung und das Inumlaufsetzen der neuen beschreibbaren Karten kann ebenfalls auf Saisonbeginn, d.h. spätestens 15. Mai 2007, stattfinden.

Reaktion EDÖB Die Empfehlung wird umgesetzt. Es sind keine weiteren Schritte nötig.

2.3 Verhältnismässigkeit in zeitlicher Hinsicht

Empfehlung Nr. 3: Der EDÖB erlässt die Empfehlung, dass für die Kundendaten Löschfristen eingeführt werden. Der in Absprache mit dem Systemlieferanten von der KSS eingereichte Vorschlag für die Löschung der Kundendaten (Löschung nach 18 – 24 Monaten) ist verhältnismässig. Die KSS hat diese Löschfrist bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vorzunehmen.

Stellungnahme KSS: Die Software, um Kundendaten automatisiert zu löschen, wird bis zum 30. September 2006 fertig gestellt und in Betrieb genommen. Die Kundendaten werden ab dem letzten aktiven Kundenkontakt nach den vorgeschlagenen 18 Monaten gelöscht.

Reaktion EDÖB Die Empfehlung wird umgesetzt. Es sind keine weiteren Schritte nötig.

31/34

Empfehlung Nr. 4: Der EDÖB erlässt die Empfehlung, dass die Transaktionsdaten anonymisiert werden. Die von der KSS in Absprache mit dem Systemlieferanten vorgeschlagene weitere Aufbewahrung der Transaktionsdaten von aktiven Abonnementen bei den Kundendaten erscheint dem EDÖB nicht erforderlich und daher unverhältnismässig. Zu statistischen Zwecken können die Transaktionsdaten in anonymisierter Form aufbewahrt werden. Die KSS hat die Anonymisierung der Transaktionsdaten bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vorzunehmen. Sofern den Kunden der KSS auch in Zukunft die Möglichkeit offeriert werden soll, ihre Eintritte für persönliche Auswertungen kontrollieren zu können, so wäre dieses Kundenangebot bei der Umsetzung der Empfehlung Nr. 2 in das neue Systemkonzept einzubauen. Die dafür erforderlichen abonnementsbezogenen Transaktionsdaten dürfen dann aber ausschliesslich auf der Smart Card in der Nutzersphäre des Badegastes festgehalten werden.

Stellungnahme KSS: Es wurden Lösungen für die Anonymisierung evaluiert, jedoch bisher noch nicht umgesetzt. Die KSS weist darauf hin, dass es notwendig sei, anhand der Karten die vorgängigen Eintritte zu ermitteln, damit die Zutrittskontrolle korrekt arbeite. Es gäbe folgende drei Fälle zu unterscheiden, bei denen die vorgängigen Eintritte ermittelt werden müssen: - Das System arbeitet mit einer sog. Wiederholsperre. Im System ist hinterlegt, nach welcher Zeit ein frühester Eintritt wieder möglich ist. In diesem Fall ist zumindest der letzte Eintritt, der mit derselben Karte getätigt wurde, ermittelbar. - Im System wird eine Funktion unterstützt, die es ermöglicht, während einer Zeitperiode eine beschränkte Anzahl Eintritte zu gewährleisten. Um dies zu ermitteln benötigt das System alle getätigten Eintritte des gewährten Zeitraums (z.B. ein Monat). - Will ein Besucher eine detaillierte Aufstellung all seiner getätigten Eintritte, benötigt die KSS sämtliche Statistikdaten, um die gewünschte Auswertung zu erstellen.

Die KSS schlägt folgende Lösungen vor: Es stehen aus Sicht der KSS vorwiegend zwei Lösungen zur Diskussion. Die erste Lösung sieht die Anonymisierung nach 1 Tag vor. Wenn während eines Tages die Statistikdaten von einzelnen Karten verfügbar seien, funktioniere die Wiederholsperre, wobei in der Nacht ein Programm ablaufe, welches die Statistikeinträge des vorhergegangenen Tages anonymisiere. Vorteil dieser Lösung wäre, dass keine nicht anonymisierten Daten im System existierten, nachteilig wäre, dass alinea zwei und drei der vorstehend genannten Fälle nicht mehr möglich wären.

32/34

Die zweite Lösung sieht die Anonymisierung jeweils bei jedem neuen Eintritt vor. Die Anonymisierung würde dann automatisch nach der letzten Verwendung der Daten erfolgen.

Reaktion EDÖB Der EDÖB hält fest, dass die KSS die Empfehlung Nr. 4 grundsätzlich akzeptiert. Der E- DÖB fordert die KSS daher auf, sich für eine Lösung zu entscheiden, in welcher die Empfehlung Nr. 4 auch tatsächlich umgesetzt wird. Welche Lösung gewählt wird und in welchem Umfang die Umsetzung der Empfehlung Nr. 2 (Smart Card) dabei helfen kann, ist der KSS überlassen. Wichtig ist, dass die Transaktionsdaten schnellstmöglich anonymisiert werden. Weshalb die Transaktionsdaten für die Zutrittskontrolle unvermeidlich benutzt werden müssen, bleibt dem EDÖB unklar. Alle drei oben genannten Fälle (Wiederholsperre; beschränkte Eintritte während einer Zeitperiode; mit der Karte getätigte Eintritte) könnten aus Sicht des EDÖB durch geringe zusätzliche Daten auf der Karte selbst (Zähler und Zeitstempel) sichergestellt werden. Der EDÖB erwartet von der KSS eine Umsetzung der Empfehlung Nr. 4 bis spätestens Beginn der nächsten Sommersaison, d.h. bis spätestens 15. Mai 2007.

Empfehlung Nr. 5: Der EDÖB erlässt die Empfehlung, dass bis zum Zeitpunkt, an dem die Templates dezentral auf Smart Cards abgelegt werden (d.h. bis zur Umsetzung der Empfehlung Nr. 2), Löschfristen für die derzeit noch zentral gespeicherten Templates eingeführt werden. Die von der KSS in Absprache mit dem Systemlieferanten vorgeschlagene Löschfrist von 7 – 14 Monaten für die zentral gespeicherten Templates ist zu kürzen. Verhältnismässig erscheint dem EDÖB eine diesbezügliche Frist von max. 3 Monaten. Die KSS hat diese Löschfrist bis zum 31. Juli 2006 umzusetzen und die technischen Anpassungen vorzunehmen. Die Frist von 3 Jahren für die Nicht-Wiedererkennung alter Templates erscheint verhältnismässig.

Stellungnahme KSS: Die aktuell nicht verwendeten Templates wurden nach der Sommersaison, d.h. nach dem 15. September 2006 gelöscht.

Reaktion EDÖB Die Empfehlung wird umgesetzt. Es sind keine weiteren Schritte nötig.

33/34

2.4 Datensicherheit

Verbesserungsvorschlag Nr. 3: Der EDÖB regt an, dass die Templates in verschlüsselter Form abgelegt werden.

Stellungnahme KSS: Bis spätestens Mai 2007 wird in der Applikation eine Verschlüsselungsschicht implementiert, welche die bestehenden Verschlüsselungs-Algorithmen verwendet. Folgende Daten werden in einem ersten Schritt verschlüsselt abgespeichert: Benutzerpasswörter, Fingerprint-Templates.

Reaktion EDÖB Der Vorschlag wird umgesetzt. Es sind keine weiteren Schritte nötig.

Verbesserungsvorschlag Nr. 4: Der EDÖB regt an, dass bezüglich der (Fern-)Wartungsmöglichkeit eine getrennte PROD-/TEST-Umgebung kreiert wird, damit das Wartungspersonal nur auf die Testdaten zugreifen kann.

Stellungnahme KSS: Die Möglichkeit ein produktives System und ein Testsystem zu unterhalten existiert gemäss Angaben der KSS bereits. Indessen sei bei einer Anpassung oder Erweiterung der Betriebskonfiguration immer auch ein Zugriff auf das produktive System notwendig. Es könnten höchstens produktive Daten (Betriebsdaten) von Konfigurationsdaten (Stammdaten) unterschieden werden. In diesem Punkt scheint der KSS eine adäquate Lösung (Trennung der Daten) kaum realisierbar. Oft müssten auch produktive Daten korrigiert werden, die fehlerhaft oder unvollständig in die Datenbank eingetragen wurden (z.B. Bedienfehler, Softwarefehler, Stromausfall etc.). Schliesslich wurde gemäss Angaben der KSS ein Auswertungsserver auf Webbasis installiert, welcher ebenfalls von der Firma Ticos betreut und gewartet wird, weshalb auch ohne Datenbankzugriff die Möglichkeit bestände, im Rahmen von bestehenden Rapports Daten auszuwerten.

34/34

Reaktion EDÖB Der EDÖB kann die Argumente der KSS gegen eine vollständige Trennung der PROD- /TEST-Umgebung bei Wartungsarbeiten nachvollziehen. Der EDÖB regt als Gegenvorschlag an, dass zur Erhöhung der Sicherheit für Zugriffe auf die produktiven Daten bei Wartungsarbeiten zwingend eine vollständige Protokollierung des Zugriffs im Sinne des Art. 10 der Verordnung zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11) eingeführt wird.

Bern, den 6. November 2006 EIDGENÖSSISCHER DATENSCHUTZ- UND ÖFFENT- LICHKEITSBEAUFTRAGTER Der Beauftragte:

Hanspeter Thür

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 11.04.2006

Summary

Full text