Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB Feldeggweg 1, 3003 Bern Tel. 031 322 43 95, Fax 031 325 99 96 www.edoeb.admin.ch Erhebung biometrischer Daten beim Erwerb einer Dauerkarte in den KSS Sport- und Freizeitanlagen Schaffhausen Zusammenfassung des Schlussberichtes vom 11. April 2006 sowie des Anhangs vom 6. November 2006 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Im Januar 2005 haben die KSS Sport- und Freizeitanlagen Schaffhausen (im Folgenden: KSS) zum Zweck der Missbrauchsbekämpfung bei der Benutzung persönlicher, nicht übertragbarer Jahres- und Halbjahresabonnemente ein neues Zugangskontrollsystem mit biometrischen Daten eingeführt. Für das neue System werden von den Kunden neben den Personalien neu auch biometrische Daten in Form von Vorlagen (Templates) der Fingerabdrücke erhoben und zentral in einer Datenbank gespeichert. Um das Hallenbad oder den Wellnessbereich der KSS betreten zu können, muss der Kunde seine Dauerkarte (Transponderkarte mit Karten-ID) in ein Lesegerät am Drehkreuz schieben und zusätzlich seinen Finger auf einen Scanner legen. Über die individuelle Karten-ID wird aus der zentralen Datenbank das entsprechende hinterlegte Template abgerufen. Stimmt das Template des aktuell präsentierten Fingerabdrucks mit dem hinterlegten Template, das der Karten-ID zugeteilt war, überein, wird der Zugang gewährt. Besteht keine Übereinstimmung, kann der Kunde die Anlagen nicht betreten, und die Karte wird nach zwei Fehlversuchen eingezogen. Nach einer halbjährigen Pilotphase wurde das neue System im Sommer 2005 definitiv eingeführt. Nicht alle Badegäste haben akzeptiert, dass sie seitdem beim Erwerb oder bei Erneuerung einer Dauerkarte ihren Fingerabdruck von einem Scanner einlesen lassen mussten und dieser in Form eines Templates zentral in einer Datenbank gespeichert wurde. So gingen beim EDÖB kurze Zeit nach der Lancierung des Pilotprojektes zahlreiche Beschwerden gegen die Erhebung der biometrischen Daten ein. In Anbetracht der Sensibilität der bearbeiteten Personendaten im Bereich der Zugangskontrolle zu einer Freizeitanlage und gestützt auf die kritischen Reaktionen aus der Bevölkerung hat der EDÖB im Rahmen seiner Funktion als Datenschutzaufsichtsbehörde im Privatbereich (vgl. Art. 29 des Bundesgesetzes über den Datenschutz [DSG; SR 235.1]) das neue biometrische Zugangssystem einer Kontrolle unterzogen. Im Vorfeld der Kontrolle hat der EDÖB von der KSS eine Dokumentation des biometrischen Systems eingefordert und Fragen gestellt. Am 21. November 2005 folgte eine Sachverhaltsabklärung vor Ort in Schaffhausen mit den involvierten Akteuren der KSS und des Systemlieferanten. Aufgrund der Auswertung der eingereichten Unterlagen und Dokumente sowie gestützt auf die durchgeführte Kontrolle gelangt der EDÖB zu einer kritischen Gesamtbeurteilung des biometrischen Sys-
2/3 tems. Es hat sich gezeigt, dass die seit der Einführung des neuen Zugangskontrollsystems erfolgte Bearbeitung von Personendaten nicht in allen Aspekten datenschutzkonform verläuft. Der EDÖB ist auf Sachverhalte gestossen, welche aus datenschutzrechtlicher Sicht einer Verbesserung bedürfen. Aus diesem Grund wurden fünf Empfehlungen gemäss Art. 29 Abs. 3 DSG und vier Verbesserungsvorschläge erlassen. Der EDÖB empfiehlt, dass • für Personen, die nicht bereit sind, ihre biometrischen Daten für die Ausstellung einer Dauerkarte einlesen zu lassen, eine kostengleiche Alternative ohne Fingerabdruck-Verifizierung angeboten wird (Empfehlung Nr. 1); • auf die zentrale Speicherung der Templates der Fingerabdrücke verzichtet wird und diese biometrischen Daten auf einer Smart Card, welche in der Benutzersphäre und unter Kontrolle der betroffenen Person verbleibt, abgelegt werden (Empfehlung Nr. 2); • für die erhobenen Kundendaten (Anschrift und Kontaktinformationen) Löschfristen eingeführt werden (Empfehlung Nr. 3); • die Transaktionsdaten (Datum, Uhrzeit und Kontrollautomat des Badeein- resp. Badeaustritts) anonymisiert werden, da aus Sicht des EDÖB deren Aufbewahrung bei den Kundendaten nicht erforderlich und daher unverhältnismässig ist (Empfehlung Nr. 4); • bis zum Zeitpunkt, an dem die Templates dezentral auf Smart Cards abgelegt werden (d.h. bis zur Umsetzung der Empfehlung Nr. 2), Löschfristen für die derzeit noch zentral gespeicherten Templates eingeführt werden (Empfehlung Nr. 5). Der EDÖB regt im Sinne von Verbesserungsvorschlägen an, dass • die Kunden besser über die Bearbeitung ihrer biometrischen Daten aufgeklärt werden und dass der dafür vorgesehene Flyer den Kunden auch tatsächlich ausgehändigt wird (Verbesserungsvorschlag Nr. 1); • das System so zu modifizieren ist, dass kein Abbild des gescannten Fingerabdruckes (sog. Rohdatum) kopiert oder gespeichert werden kann (Verbesserungsvorschlag Nr. 2); • die Templates in verschlüsselter Form abgelegt werden (Verbesserungsvorschlag Nr. 3); • bei (Fern-)Wartungsarbeiten das Wartungspersonal des Systemlieferanten nur auf Testdaten zugreifen kann (Verbesserungsvorschlag Nr. 4). Die KSS hat die fünf Empfehlungen des EDÖB akzeptiert. Neu können seit 15. September 2006 auch Dauerkarten ohne biometrische Merkmale ausgestellt werden. Mit diesen Karten muss sich der Benutzer aber wie früher an der bedienten Kasse als rechtmässiger Besitzer der Karte ausweisen (Umsetzung Empfehlung Nr. 1). Die biometrischen Daten (Templates der Fingerabdrücke) werden nicht mehr zentral, sondern auf Smart Cards gespeichert. Die Dauerkarten werden durch solche beschreibbaren Smart Cards ersetzt. Die Einführung und das Inumlaufsetzen der neuen Karten erfolgt auf Saisonbeginn, d.h. spätestens auf den 15. Mai 2007 (Umsetzung Empfehlung Nr. 2). Die Kundendaten werden seit dem 30. September 2006 automatisch 18 Monate nach dem letzten aktiven Kundenkontakt gelöscht (Umsetzung Empfehlung Nr. 3). Für die Transaktionsdaten wird eine Lösung für eine frühestmögliche Anonymisierung gesucht (Umsetzung Empfehlung Nr. 4). Die aktuell nicht verwendeten Templates werden seit Ende der Sommersaison am 15. September 2006 automatisch gelöscht (Umsetzung Empfehlung Nr. 5). Der EDÖB erachtet seine Empfehlungen mit diesen von der KSS eingeleiteten Massnahmen als umgesetzt. Zudem hat die KSS die Vorschläge Nr. 1, 2 und 3 akzeptiert und die nötigen Schritte zu ihrer Umsetzung vollzogen. Da Verbesserungsvorschlag Nr. 4 aus technischen Gründen nicht vollständig umgesetzt werden kann, hat der EDÖB als Gegenvorschlag angeregt, dass bei Zugriffen des Wartungsper-
3/3 sonals auf die produktiven Daten zwingend eine vollständige Protokollierung des Zugriffs eingeführt wird. Dem Schlussbericht des EDÖB wurde ein Anhang angefügt, der die Stellungnahmen und Antworten entsprechenden der KSS zur Kontrolle sowie die Reaktionen des EDÖB wiedergibt. Der EDÖB hat die Datenschutzkontrolle betreffend die Erhebung biometrischer Daten beim Erwerb einer Dauerkarte bei der KSS am 6. November 2006 für abgeschlossen erklärt und die KSS aufgefordert, ihn nach vollendeter Umsetzung sämtlicher Massnahmen in Kenntnis zu setzen. Der EDÖB erachtet seine Feststellungen, Empfehlungen und Verbesserungsvorschläge gegenüber der KSS als richtungweisend für weitere Privatanwender biometrischer Systeme im Bereich von Freizeit- oder ähnlichen Anlagen. Der vollständige Bericht ist in deutscher Sprache über das Internet abrufbar (www.derbeauftragte.ch).