Eidgenössischer Datenschutz- und Öffentlichkeitsbea uftragter EDÖB Der Beauftragte
Feldeggweg 1, 3003 Bern Tel. 031 323 74 84, Fax 031 325 99 96 www.edoeb.admin.ch
Bern, den 10. Juni 2008
WEITERZUG gemäss Art. 29 Abs. 4 des Bundesgesetzes über den D atenschutz (DSG) vom 19. Juni 1992 in der Sache Schlussbericht und Empfehlung des Eidgenössischen D atenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 11. April 20 06 betreffend die Erhebung biometrischer Daten beim Erwerb einer Dauerkarte in den Sport- und Freizeitanlagen KSS Schaffhausen I. Begehren
Folgenden Begehren sei stattzugeben:
Die Empfehlungsadressatin sei auszufordern auf die zentrale Speicherung von biometrischen Daten in Form von Templates der Fingerabdrücke zu verzichten und diese biometrischen Daten - auch diejenigen, welche bereits zentral erfasst wurden - auf einer Sicherheitskarte (smartcard), welche in der Einflusssphäre und unter Kontrolle der betroffenen Person verbleibt, abzulegen. Damit soll die Verifizierung der Identität ausschliesslich auf diesem Sicherheitsmedium stattfinden (smartcard match on card), so dass die biometrischen Daten zu keinem Zeitpunkt die gesicherte Umgebung des Mediums und die Kontrolle der betroffenen Person verlassen.
2/16
II. Sachverhalt
1. Im Januar 2005 hat die KSS Sport- und Freizeitanlagen Schaffhausen (nachfolgend KSS genannt) ein neues Zugangskontrollsystem (biometrisches Erkennungssystem1 für die biometrische Verifizierung2 von Abonnenten) für den Hallenbad- und Wellnessbereich eingeführt. Dieses sieht vor, dass neben den Personalien auch biometrische Daten3 in Form von Templates4 des Fingerabdrucks5 des Abonnenten erhoben und gespeichert werden. Bei jedem Eintritt in das Hallenbad- oder den Wellnessbereich muss der Kunde seine Dauerkarte sowie zusätzlich seinen Finger einsetzen, um das Drehkreuz am Eingang passieren zu können.
2. Ziel der KSS ist es, durch das neue Zugangskontrollsystem Missbräuche bei der Benutzung persönlicher, nicht übertragbarer Dauerkarten einzudämmen. Nach einer halbjährigen Pilotphase wurde das neue System im Sommer 2005 definitiv eingeführt. Langfristig ist ein Ausbau des Systems für weitere Sport- und Freizeitangebote (wie Freibad im Sommer oder Eisbahn im Winter) geplant. Der EDÖB erfuhr von der durch die KSS vorgenommene Erhebung biometrischer Daten durch diverse Zeitungsberichte und Fragen seitens besorgter Bürger.
3. In diesem Rahmen hat der EDÖB bei den KSS zwischen Juni 2005 und April 2006 gemäss Art. 29 DSG eine umfassende Überprüfung im Hinblick auf die Einhaltung der Datenschutzbestimmungen bei der Bearbeitung biometrischer Daten vorgenommen.
4. Mit Schreiben vom 6. Juni 2005 hat der EDÖB die KSS schriftlich über die geplante Datenschutzkontrolle und Sachverhaltsabklärung vor Ort betreffend das neue Zugangskontrollsystem informiert. Zusätzlich wurden vom EDÖB die Dokumentation des neue Systems angefordert und um die Beantwortung eines beigelegten Fragenkataloges gebeten. (siehe Anhang 2 : Schreiben des EDÖB vom 6. Juni 2005 (Sachverhaltsabklärung) )
5. Mit Schreiben vom 29. Juni 2005 hat die KSS den Fragekatalog des EDÖB beantwortet und um Terminvorschläge gebeten. (siehe Anhang 3 : Schreiben der KSS vom 29. Juni 2005)
6. Mit Schreiben vom 4. August 2005 hat der EDÖB Terminvorschläge unterbreitet und um Nennung der an der Sachverhaltsabklärung anwesenden Personen gebeten. Zudem hat der EDÖB letzte Rückfragen gestellt. (siehe Anhang 4 : Schreiben des EDÖB vom 4. August 2005)
7. Mit Schreiben vom 19. August 2005 hat die KSS die letzten Rückfragen schriftlich beantwortet und den Termin für die Sachverhaltsabklärung vor Ort auf den 21. September 2005 festgelegt. (siehe Anhang 5 : Schreiben der KSS vom 19. August 2005)
1 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 3 2 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 8 3 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 6 4 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 5 5 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 2
3/16
8. Am 25. August 2005 hat der EDÖB den Termin für die Sachverhaltsabklärung per E-Mail bestätigt. (siehe Anhang 6 : E-Mail des EDÖB vom 25. August 2005 (Bestätigung des Termins))
9. Mit Anruf vom 7. September 2005 hat die KSS mitgeteilt, dass die Sachverhaltsabklärung von Seiten der KSS auf unbestimmte Zeit verschoben werden musste. (siehe Anhang 7 : Anruf der KSS vom 7. September 2005 (Verschiebungsanfrage))
10. Am 21. November 2005 fand die Sachverhaltsabklärung des EDÖB bei den KSS in Schaffhausen statt. 11. Mit Schreiben vom 30. November 2005 hat der EDÖB den KSS das weitere Vorgehen im Rahmen der Datenschutzkontrolle per E-Mail angekündigt. (siehe Anhang 8 : E-Mail des EDÖB vom 30. November 2005 (Vorgehen Datenschutzkontrolle))
12. Am 14. Dezember 2005 hat der EDÖB den KSS ein Fact-Sheet geschickt, mit der Bitte um materielle Bereinigung des Textes sowie um Beantwortung aufgetretener Rückfragen. (siehe Anhang 9 : Schreiben des EDÖB vom 14. Dezember 2005 (Fact-Sheet))
13. Mit Schreiben vom 20. Januar 2006 hat die KSS um eine Fristverlängerung gebeten. (siehe Anhang 10 : Schreiben der KSS vom 20 Januar 2006 (Bitte um Fristerstreckung)) 14. Am 24. Januar 2006 hat der EDÖB per E-Mail eine Fristverlängerung bis zum 3. Februar 2006 gewährt. (siehe Anhang 11 : E-Mail des EDÖB vom 24. Januar 2006 (Fristerstreckung bis 3. Februar 2006))
15. Mit Schreiben vom 1. Februar 2006 hat die KSS die Richtigkeit des Fact-Sheets bestätigt und die gestellten Rückfragen beantwortet. (siehe Anhang 12 : Schreiben der KSS vom 1. Februar 2006 (Bestätigung der Richtigkeit des Fact-Sheets))
16. Die Ergebnisse der Sachverhaltsabklärung wurden vom EDÖB in einem separaten und detaillierten Bericht (Schlussbericht des EDÖB vom 11. April 2006) festgehalten. Dieser Schlussbericht erging zusammen mit der Empfehlung zuhanden der KSS. (siehe Anhang 13 : Schreiben des EDÖB vom 11. April 2006 (Schlussbericht) und Anhang 14 : Schreiben des EDÖB vom 11. April 2006 (Empfehlung))
17. Mit Schreiben vom 18. Mai 2006 hat die KSS um eine Fristverlängerung bezüglich Stellungnahme zum Schlussbericht und zur Empfehlung gebeten. (siehe Anhang 15 : Schreiben der KSS vom 18. Mai 2006 (Bitte um Fristverlängerung))
18. Mit Schreiben vom 24. Mai 2006 hat der EDÖB eine Fristerstreckung bis zum 19. Juni 2006 gewährt. (siehe Anhang 16 : Schreiben des EDÖB vom 24. Mai 2006 (Fristerstreckung bis 19. Juni 2006))
19. Mit Schreiben vom 19. Juni 2006 hat die KSS um eine Fristverlängerung bezüglich Stellungnahme zum Schlussbericht und zur Empfehlung gebeten. (siehe Anhang 17 : Schreiben der KSS vom 19. Juni 2006 (zweite Bitte um Fristverlängerung))
4/16
20. Mit Schreiben vom 21. Juni 2006 hat der EDÖB eine zweite Fristerstreckung bis 10. August 2006 gewährt. (siehe Anhang 18 : Schreiben des EDÖB vom 21. Juni 2006 (zweite Fristerstreckung bis 10. August 2006))
21. Mit Schreiben vom 10. August 2006 hat die KSS die fünf vom EDÖB unterbreiteten Empfehlungen akzeptiert. Bezüglich der Verbesserungsvorschläge und die Angabe der vertraulichen Informationen hat sich die KSS nicht geäussert. (siehe Anhang 19 : Schreiben der KSS vom 10. August 2006 (Stellungnahme zu unseren 5 Empfehlungen))
22. Mit Schreiben vom 31. August 2006 hat der EDÖB die KSS um Nachlieferung der Stellungnahmen zu den Verbesserungsvorschlägen, Angaben über vertrauliche Informationen und Erläuterung der Stellungnahme der KSS zu Empfehlung Nr. 4 (Anonymisierung der Transaktionsdaten) - mit Frist bis zum 15. September 2006 - gebeten. (siehe Anhang 20 : Schreiben des EDÖB vom 31. August 2006 (Bitte um Nachlieferung der Stellungnahme zu den Verbesserungsvorschlägen und zur Erläuterung der Stellungnahme zu Empfehlung Nr. 4))
23. Mit Schreiben vom 15. September 2006 hat uns die KSS um eine weitere Fristerstreckung bis 19. Oktober 2006 gebeten. (siehe Anhang 21 : Schreiben der KSS vom 15. September 2006 (Bitte um Fristverlängerung))
24. Mit Schreiben vom 20. September 2006, wurde eine Fristerstreckung bis 19. Oktober 2006 durch den EDÖB gewährt. (siehe Anhang 22 : Schreiben des EDÖB vom 20. September 2006 (Fristerstreckung bis 19. Oktober 2006))
25. Mit Stellungnahme vom 18. Oktober 2006, hat die KSS, folgende Massnahmen zur Empfehlung Nr. 2 (dezentralisierte Speicherung der Templates) vorgeschlagen: „Die Dauerkarten werden durch beschreibbare Medien ersetzt, die Software wird so angepasst, dass die Daten auf der Karte gespeichert werden können. …Programmieren, Testen und die Inbetriebnahme kann bis zum 01. Mai 2007 garantiert werden. Die Einführung kann ebenfalls auf Saisonbeginn, mithin 15. Mai 2007, stattfinden“. (siehe Anhang 23 : Schreiben der KSS vom 18. Oktober 2006 (Massnahmen zur Empfehlung Nr. 2))
26. Mit Schreiben vom 10. November 2006 haben wir KSS mitgeteilt, dass wir die Kontrolle für abgeschlossen erachten würden, vorbehältlich der Einreichung eines Implementierungsberichts bezüglich die Umsetzung der erlassenen Empfehlungen und Verbesserungsvorschläge und unter Hinweis auf die im erwähnten Schreiben genannten drei Punkte. Deshalb wurde die KSS dazu aufgefordert, uns per 01. Juni 2007 einen Implementierungsbericht bezüglich der Umsetzung sämtlicher vom EDÖB erlassenen Empfehlungen und Verbesserungsvorschläge zuzustellen. (siehe Anhang 24 : Schreiben des EDÖB vom 10. November 2006 (Bitte um Zustellung einem Implementierungsbericht bezüglich der Umsetzung sämtlicher vom EDÖB erlassenen Empfehlungen und Verbesserungsvorschläge))
27. Mit Schreiben vom 22. November 2006, hat der EDÖB der KSS die zuvor angekündigte Aufschaltung des Schlussberichts am 24. November 2006 auf seiner Website bestätigt. (siehe Anhang 25 : Schreiben des EDÖB vom 22. November 2006 (Bericht zur Publikation))
5/16
28. Mit Schreiben vom 1. Juni 2007, teilte die KSS mit, dass „aus Gründen der Arbeitsüberlastung […] bisher weder die Direktion der KSS noch die Herstellerfirma […] dazu [kam], den verlangten Bericht zu erstellen“. (siehe Anhang 26 : Schreiben der KSS vom 1. Juni 2007 (Bemerkungen zum kürzen Implementierungsbericht))
29. Mit Schreiben vom 28. Juni 2007, hat der EDÖB wiederholt zur Kenntnis genommen, dass KSS gemäss Ihren Antworten vom 10. August 2006 und 18. Oktober 2006 die vier Empfehlungen vom 11. April 2006 akzeptiert hatte. Der EDÖB hat dabei wieder auf seinen Brief vom 10. November 2006 (abgeschlossene Kontrolle, vorbehältlich der Einreichung eines Implementierungsberichts) hingewiesen und die KSS um Erläuterungen zum Implementierungsbericht gebeten. (mit Frist bis zum 31. Juli 2007 zur Einreichung einer kurzen Übersicht und zum 30. September zur Einriechung des Implementierungsberichts ). (siehe Anhang 27 : Schreiben des EDÖB vom 28. Juni 2007 (Nachforderung für die Frist um die Beschaffung des Implementierungsberichts))
30. Mit Schreiben vom 26. Juli 2007, teilte die KSS mit, dass „unter Hinweis auf die bisher entstandenen Kosten, keine weitere Vorkehren mehr geplant“ seien. (siehe Anhang 28 : Schreiben der KSS vom 26. Juli 2007)
31. Aufgrund dieser neuen Informationen seitens der KSS, hat der EDÖB mit Schreiben vom 27. August 2007 der KSS mitgeteilt, dass er sich zu einer Nachkontrolle entschieden hatte, um zu überprüfen, ob die Empfehlungen und Verbesserungsvorschläge umgesetzt wurden. (siehe Anhang 29 : Schreiben des EDÖB vom 27. August 2007 (Nachkontrolle)).
32. Bei der ersten Nachkontrolle am 11. September 2007, wurde festgestellt, dass die Empfehlung Nr. 1 umgesetzt war und dass die Empfehlungen 3, 4 und 5 erst nach einem Software-Release bis Ende Jahr umgesetzt werden könnten. Was die Empfehlung Nr. 2 anbelangt (dezentrale Speicherung der Templates), wurde der Anbieter der technischen Lösung angefragt, wie Smartcards eingesetzt werden können und welche Kosten damit verbunden seien. Der Geschäftsleiter hat uns mitgeteilt, dass die KSS bisher keine Smartcards nachgefragt hat, aber dass die Anpassung für die KSS allerdings kostenneutral sei (bis auf die Anschaffungskosten für die Smartcards, d.h. ungefähr 5 Franken pro Stück). Zusätzlich hat er mitgeteilt, dass das System schon dazu geeignet ist, Smartcards auszulesen. Der Betriebsleiter der KSS schätzte die bei der KSS im Umlauf befindliche Dauerkarten auf ungefähr 15'000.
33. Mit Schreiben vom 4. Dezember 2007 teilte der EDÖB der KSS mit, dass er sich für eine zweite Nachkontrolle vor Ort entschieden hatte, um die Umsetzung der Empfehlungen 3 und 4 überprüfen zu können. Dazu setzte er der KSS eine Frist bis 15. Januar 2008 an, um einen Termin zu nennen, bis wann Sie die Empfehlung Nr. 2 im Jahr 2008 umsetzen wollten. (siehe Anhang 30 : Schreiben des EDÖB vom 4. Dezember 2007). Eine Besprechung über die Umsetzung der Empfehlung Nr. 2 wurde nachträglich zwischen den Beteiligten vereinbart.
34. Mit Schreiben vom 14. Januar 2008 teilte uns die KSS mit, dass sie davon ausgingen, dass Ihnen die eröffnete Frist einstweilen abgenommen war. (siehe Anhang Anhang 31 : Schreiben der KSS vom 14. Januar 2008).
6/16
35. Bei der zweiten Nachkontrolle am 17. Januar 2008 hat der EDÖB feststellen können, dass die Empfehlungen 3 und 4 umgesetzt worden waren. Die Besprechung über die Empfehlung Nr. 2 führte dazu, dass deren Umsetzung grundsätzlich möglich sein sollte, unter Berücksichtigung der auf die KSS zukommenden Kosten für die Neuanschaffung von Smartcards, auf welchen die biometrischen Daten in dezentraler Form gespeichert werden können.
36. Mit Schreiben vom 29. Februar 2008 hat die KSS mitgeteilt, dass sie die Umsetzung der Empfehlung Nr. 2 ablehnt, da sie diese als unverhältnismässig („Zum einen müssten neue Karten eingekauft werden, was hohe Anschaffungskosten verursacht, zum andern wäre zusätzlicher logistischer Aufwand durch die Erfassung und Ausstellung der neuen Karte unvermeidbar“) erachtet. (siehe Anhang 32 : Schreiben der KSS vom 29. Februar 2008 (Ablehnung der Empfehlung Nr. 2)). III. Formelles 37. Die KSS hat unsere Empfehlung Nr. 2 bezüglich der dezentralen Speicherung von Templates mit Schreiben vom 10. August 2006 akzeptiert, diese aber dann nicht befolgt. Schliesslich, mit Schreiben vom 29. Februar 2008 hat die KSS unsere Empfehlung Nr. 2 abgelehnt. Damit kann der EDÖB gemäss Art. 29 Abs. 4 DSG die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen. IV. Erwägungen 1. Biometrische Daten als Personendaten im Sinne vo n Art. 3 lit. a DSG
38. Gemäss Art. 3 lit. a DSG, sind unter „personenbezogene Daten“, alle Angaben zu verstehen, „die sich auf eine bestimmte oder bestimmbare Person beziehen“ (Basler Kommentar zum DSG, Urs Maurer-Lambrou/Andreas Steiner zu Art. 3 DSG, Rz. 4). Gemäss Art. 2 Abs. 1 DSG ist das DSG für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen sowie durch Bundesorgane anwendbar.
39. Biometrische Daten6 werden als personenbezogenen Daten qualifiziert, da sie sich auf den eigenen Körper (biometrische Charakteristiken7) beziehen und Informationen über physiologischen (dazu zählen Fingerabdrücken und Finger-Bild, Iris, Gesichts, Handgeometrie, usw.) oder verhaltenstypischen (dazu zählen Unterschrift, Tastenanschlag, Gangart usw.) Merkmale von bestimmten oder bestimmbaren Personen enthaltenen können. Der Einsatz von biometrischen Erkennungssystemen beinhaltet Risiken für die Grundrechte und -freiheiten und hat sich zu einer grossen Herausforderung für den Datenschutz entwickelt. Aufgrund dieser Risiken, haben gewisse Mitgliedstaaten der EU gemäss Art. 20 Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (siehe Anhang 33 : Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) http://ec.europa.eu/justice_home/fsj/privacy/law/index_de.htm, Re-
6 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 6 7 Siehe Anhang 1 : Definitionen zur Biometrie, Nr. 2
7/16
gelungen bezüglich Vorabkontrollen für biometrische Daten oder Erkennungssystemen (Frankreich, Italien, Luxemburg, Slowakei, Slowenien) sowie besonders schützenswerten Personendaten (Deutschland, Griechenland, Litauen, Österreich, Portugal) festgelegt.
40. Wie die Art. 29-Datenschutzgruppe der EU in ihrem Arbeitspapier über Biometrie, S. 2, 5 f. (siehe Anhang 34 : Arbeitspapier über Biometrie (WP Nr. 80)) (angenommen am 1. August 2003) http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2003_en.htm festhält, sind „biometrische Daten […] Daten besonderer Art, da sie sich auf die verhaltenstypischen und physiologischen Merkmale einer Person beziehen und unter Umständen ihre eindeutige Identifizierung ermöglichen. Allerdings hängt die eindeutige Identifizierung von verschiedenen Faktoren wie dem Umfang der Datenbank und der Art der verwendeten biometrischen Daten ab. […] Biometrische Daten dürften stets als Informationen über eine natürliche Person einzustufen sein, da sie naturgemäß Aufschluss über eine bestimmte Person geben“.
41. Gemäss Hornung (Der Personbezug biometrischer Daten, Datenschutz und Datensicherheit (DuD), 28 (2004) 7, S. 430 f.) kann „ein Personenbezug von Templates […] nicht grundsätzlich verneint werden, weil auch diese (extrahierte) Informationen über eine Person enthalten und ihr über Zuordnungslisten zugeordnet sein können. Biometrische Daten sollten dann nicht als personenbezogene Daten eingestuft werden, wenn sie wie ein Template so gespeichert werden, dass eine Identifizierung der betroffenen Person durch den Verantwortlichen für die Verarbeitung oder Dritte mit angemessenen Mitteln ausgeschlossen ist. Bei der Präsentation biometrischer Merkmale entstehen in aller Regel personenbezogene Daten. Das ist beim Enrolment stets, beim Matching immer dann der Fall, wenn die Identität des Betroffenen durch die verantwortliche Stelle auf anderem Wege feststellbar ist. In diesem Fall sind auch die jeweiligen Referenzdaten personenbezogen. Gleiches gilt, wenn diese mit einem Zuordnungssystem gespeichert sind. Bei einer Speicherung auf Chipkarten, auf denen der Name des Inhabers aufgedruckt ist, handelt es sich nur dann nicht um personenbezogene Daten, wenn die Karte selbst über einen Sensor verfügt“.
42. Im vorliegenden Fall ist die von den KSS durchgeführten Datenbearbeitungen gerade auf die Verifizierung ausgerichtet. Die Überprüfung der Zugangsberechtigung wird durch die Vergleichung des Fingerabdrucks einer Person mit dem in der zentralen Datenbank abgespeicherten Template erfüllt. Damit handelt es sich bei den von den KSS gesammelten biometrischen Daten um Personendaten gemäss Art. 3 lit. a DSG.
2. Datenschutzgrundsätze
2.1. Zweckbindung 43. Personendaten dürfen nur zu dem Zweck bearbeitet werden, welcher bei der Beschaffung angegeben wurde oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Die von den KSS erhobenen biometrischen Daten dienen der Verifizierung der Zugangsberechtigung der betroffenen Personen. Zwar nimmt die KSS bei den Zugangskontrollen keine Zweckänderung vor, allerdings ist eine Änderung des Bearbeitungszwecks im vorliegenden Falle von den Betroffenen durch die zentrale
8/16
Speicherung der biometrischen Daten nicht kontrollierbar. Daher sind technische Lösungen zur Verifizierung der Zugangsberechtigung vorzuziehen, bei welchen keine zentrale Speicherung von biometrischen Daten vorgenommen wird. Da bei einer zentralen Datenspeicherung die betroffene Person die Kontrolle über die über sie gesammelten biometrischen Daten vollständig verliert, birgt ein zentraler Datenbestand die Gefahr einer Verletzung der informationellen Selbstbestimmung mit sich, welche gemäss Art. 13 Abs. 2 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (SR 101; BV) garantiert wird.
44. In der Praxis hängt die Reichweite der informationellen Selbstbestimmung der betroffenen Personen von den verwendeten technischen Verfahren und Lösungen ab. Einige Lösungen ermöglichen die individuelle Kontrolle über die personenbezogenen Referenzdaten, andere ermöglichen die individuelle Kontrolle sowohl über die personenbezogenen Referenzdaten als auch über die personenbezogenen Transaktionsdaten (Lesen und Vergleichen).
45. Datenschutzrechtlich, sollten die betroffenen Personen so viel Kontrolle wie möglich über die eigenen Daten haben. Im Fall der KSS, haben wir daher eine dezentrale Speicherung empfohlen. Damit die biometrischen Daten den Kontrollbereich der betroffenen Person nicht verlassen, haben wir den Einsatz von einem milderen Mittel „Smartcards match on card“ empfohlen, so dass die biometrische Daten auf dem Sicherheitsmedium gespeichert werden und die Verifizierung auf dem Sicherheitsmedium stattfindet.
2.2. Verhältnismäßigkeit der Datenbearbeitung
46. Die Bearbeitung von Personendaten hat sich am Grundsatz der Verhältnismässigkeit zu orientieren (Art. 4 Abs. 2 DSG). Dies bedeutet, dass ein Datenbearbeiter nur diejenigen Daten bearbeiten darf, die er für einen bestimmten Zweck objektiv tatsächlich benötigt und die im Hinblick auf den Bearbeitungszweck und die Persönlichkeitsbeeinträchtigung in einem vernünftigen Verhältnis stehen (Basler Kommentar zum DSG, Urs Maurer- Lambrou/Andreas Steiner zu Art. 4 DSG, Rz. 11). Eine Datenbearbeitung ist dann verhältnismässig, wenn sie sich inhaltlich auf das absolut Notwendige beschränkt, um ein bestimmtes Ziel zu erreichen. Dies bedingt auch, dass keine für den verfolgten Zweck nicht benötigten Überschussinformationen anfallen. Ebenso ist es unzulässig, Personendaten auf Vorrat zu erheben, sofern der damit verfolgte Zweck dies nicht unabdingbar erfordert.
47. Wie die Art. 29-Datenschutzgruppe der EU in ihrer Stellungnahme zum Einsatz von Biometrie festhält (siehe Anhang 34 : Arbeitspapier über Biometrie (WP Nr. 80), S. 6, Nr. 3.2), sind bei der Beurteilung der Verhältnismässigkeit „die Risiken für den Schutz der Grundrechte und – freiheiten des Einzelnen zu berücksichtigen, vor allem die Frage, ob der beabsichtigte Zweck nicht auch auf eine weniger in die Rechte der Betroffenen eingreifende Weise zu erreichen ist“. Grundsätzlich sind daher vor dem Einsatz biometrischer Erkennungssysteme immer auch andere geeignete Alternativen zu überprüfen, welche weniger stark in die Grundrechte der Betroffenen eingreifen und mit denen der angestrebte Zweck ebenfalls erreicht werden kann.
48. Der Einsatz biometrischer Erkennungssysteme stellt je nach Ausgestaltung im konkreten Einzelfall einen mehr oder weniger intensiven Eingriff in die Persönlichkeitsrechte der
9/16
Betroffenen dar. Die Eingriffe in die Grundrechte der Betroffenen müssen daher schon bei der Auswahl und Ausgestaltung des biometrischen Verfahrens berücksichtigt werden. Grundsätzlich muss ein möglichst datensparsames System ausgewählt werden, welches in einem vernünftigen Verhältnis zum angestrebten Zweck steht.
49. Vor diesem Hintergrund müsste die Konzeption des Zugangskontrollsystems im Hinblick auf den zu erreichenden Zweck ausgestaltet sein und insbesondere die nachfolgenden Kriterien in die hierfür notwendigen Erwägungen mit einbeziehen:
1.) Ermöglicht das System eine biometrische Identifizierung oder Verifizierung und ist es zur Erreichung des Zwecks notwendig die betroffene Person zu identifizieren bzw. reicht eine Verifizierung aus? 2.) Wie werden die biometrischen Daten gespeichert (zentral oder dezentral) und ist eine zentrale Speicherung notwendig? 3.) Welche biometrischen Charakteristiken werden verwendet und sind diese für die Zweckerreichung notwendig? 4.) Welche technischen und organisatorischen Massnahmen werden getroffen, um die Zuverlässigkeit und Sicherheit des biometrischen Erkennungssystems zu gewährleisten?
50. Zu 1.) Die biometrische Identifizierung einer betroffenen Person stellt einen schwerwiegenderen Eingriff in deren Persönlichkeit dar als deren blosse Verifizierung. Aus diesem Grund sollten Systeme zur biometrischen Identifizierung nur eingesetzt werden, wenn es zur Erreichung des beabsichtigten Zwecks zwingend notwendig ist, die betroffene Person aufgrund ihrer biometrischen Daten zu identifizieren. Die biometrische Verifizierung sollte vorwiegend nur dann zum Einsatz kommen, wenn eine strenge Authentifizierung nicht in einem ausreichenden Masse durch traditionelle Authentifizierungsmöglichkeiten, wie Passwörter oder Zugangschips (Tokens) realisiert werden kann und eine eigentliche Identifizierung der betroffenen Person nicht zwingend notwendig ist.
51. Zu 2.) Der Grundsatz der Verhältnismässigkeit gebietet, bei biometrischen Systemen, die auch ohne zentrale Speicherung der biometrischen Daten auskommen, dass die biometrischen Charakteristiken möglichst nicht in einer zentralen Datenbank gespeichert werden, sondern nur auf einem dezentralen Medium, das ausschliesslich dem Benutzer zugänglich ist. Der Europarat hält in seiner Stellungnahme fest, (siehe Anhang 35 : Rapport d’étape sur les principes de l’application de la Convention 108 à la collecte et au traitement des données biométriques, Nr. 48). http://www.coe.int/t/f/affaires_juridiques/coop%E9ration_juridique/protection_des_don n%E9es/documents/rapports_et_%E9tudes_des_comit%E9s_de_protection_des_don n%E9es/O-Biometrie_2005.asp#TopOfPage, „le choix d’une base de données pour la fonction de vérification requiert une justification particulière“ (dass die Implementierung einer zentralen Datenbank zum Zweck der biometrischen Verifizierung besondere Rechtfertigungsgründe voraussetzt).
52. Ist hingegen die Identifizierung der betroffenen Person zur Erreichung des angestrebten Zwecks notwendig, so ist eine zentrale Speicherung der biometrischen Daten in vielen Fällen geboten.
10/16
53. Der Zürcher Datenschutzbeauftragter hat in seinem 11. Tätigkeitsbericht (siehe Anhang 36 : Datenschutzbeauftragter Kanton Zürich, Tätigkeitsbericht 2005, S.12 f.) bezüglich des Einsatzes eines biometrischen Systems durch eine Gemeinde für die Zugangskontrolle ins Schwimmbad festgehalten, dass „das Template auf einer bei der betroffenen Person verbleibenden Smartcard abgelegt und beim Wiedereintritt mit dem erzeugten Prüfmuster verglichen werden. Aus datenschutzrechtlicher Sicht sind Systeme vorzuziehen, bei denen auch das Einlesen des Fingerabdrucks und der Verifizierungsvorgang in der Nützersphäre stattfinden. Biometrische Daten dürfen nicht bei der Schwimmbad-Betreiberin abgelegt werden “.
54. Der EDÖB hat schon im Jahre 2004, in seinem Bericht über das Pilotprojekt Secure Check am Flughafen Zürich-Kloten, die dezentrale Speicherung empfohlen. (siehe Anhang 37 : Bericht über das Pilotprojekt Secure Check - Einsatz von Biometrie beim Check-In und Boarding am Flughafen Zürich-Kloten, Nr. 6.5.2, 6.6.1, 6.6.2 und 7.1)
55. In Frankreich hat die Commission nationale de l’informatique et des libertés (CNIL) in verschiedene Fälle die dezentrale Speicherung empfohlen8. Bezüglich Délibération n°2007-138 du 21 juin 2007 autorisant la mise en œu vre par la SARL Magic Form d’un traitement automatisé de données à caractère personnel reposant sur la reconnaissance des empreintes digitales et ayant pour finalité le contrôle de l’accès à un club de sport (siehe Anhang 38 : Délibération n°2007-138 du 21 ju in 2007 (CNIL)) hat die CNIL folgendes empfohlen : „Le gabarit de l’empreinte digitale des personnes concernées sera exclusivement stocké sur un support individuel exclusivement détenu par la personne concernée et dont elle décide librement de l’utilisation “.
56. Im Fall Comité d’entreprise d’Effia Services, Syndicat Sud Rail / Effia Services hat das Tribunal de grande instance de Paris am 19. April 2005 folgendes bezüglich die Be-
8 Délibération n°2007-138 du 21 juin 2007 autorisan t la mise en œuvre par la SARL Magic Form d’un traitement automatisé de données à caractère personnel reposant sur la reconnaissance des empreintes digitales et ayant pour finalité le contrôle de l’accès à un club de sport, S. 2 (siehe Anhang 38 : Délibération n°2007-138 du 21 juin 2007 (CNIL)) ; Délibération n°2006-102 du 27 avril 2006 portant au torisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail, S. 1 f. (siehe Anhang 39 : Délibération n°2006-102 du 27 avril 2006 (CNIL)) http://www.cnil.fr/index.php?id=2013 ; Délibération n°2005-115 du 7 juin 2005 portant auto risation de la mise en œuvre par la Chambre de Commerce et d’Industrie de Nice-Côte d’Azur d’un traitement automatisé de données à caractère personnel ayant pour finalité la gestion d’une carte de fidélité impliquant l’utilisation d’un dispositif biométrique de reconnaissance des empreintes digitales, S. 3 (siehe Anhang 40 : Délibération n°2005-115 du 7 juin 2005 (CNIL)) ; Délibération n°04-018 relative à une demande d’avis présentée par le Centre hospitalier de Hyères concernant la mise en œuvre d’un dispositif de reconnaissance de l’empreinte digitale ayant pour finalité la gestion du temps de travail de ses personnels, S. 1 f. (siehe Anhang 41 : Délibération n°0 4- 018 (CNIL)) http://www.cnil.fr/index.php?id=1550 X= Délibération n°04-017 relative à une demande d’avis de l’établissement public Aéroports de Paris concernant la mise en œuvre d’un contrôle d’accès biométrique aux zones réservées de sûreté des aéroports d’Orly et de Roissy, S. 1 (siehe Anhang 42 : Délibération n°04-017 (CNIL)) http://www.cnil.fr/index.php?id=1551
11/16
nützung eines biometrisches Erkennungssystems (welches den Fingerabdruck als Erkennungsmerkmal nutzte) erwägt : „Son utilisation qui met en cause le corps humain et porte ainsi atteinte aux libertés individuelles peut cependant se justifier lorsqu’elle a une finalité sécuritaire ou protectrice de l’activité exercée dans des locaux identifiés. […] Or, il n’est pas prétendu par la société Effia Services que la seule mise en place d’un système de badge ne serait pas de nature à permettre de contrôler efficacement les horaires des salariés sans avoir recours à un procédé d’identification comportant des dangers d’atteinte aux libertés individuelles dont la nécessité n’est pas démontrée. Il s’ensuit que l’objectif poursuivi n’est pas de nature à justifier la constitution d’une base de données d’empreintes digitales des personnels travaillant dans les espaces publics des gares de la Sncf, le traitement pris dans son ensemble n’apparaissant ni adapté ni proportionné au but recherché. Il y a lieu de faire interdiction à la société Effia Services de mettre en place le système de "badgeage" par empreintes digitales“. (siehe Anhang 43 : Tribunal de grande instance de Paris 1ère chambre, section sociale Jugement du 19 avril 2005 Comité d’entreprise d’Effia Services, Syndicat Sud Rail / Effia Services, S. 2) http://www.legalis.net/jurisprudencedecision.php3?id_article=1433
57. In Luxemburg hat die Commission nationale pour la protection des données bezüglich Délibération n°89/2005 du 21 décembre 2005 de la Co mmission nationale pour la protection des données relative à la demande d’autorisation préalable introduite par l’établissement public Domaine Thermal de Mondorf en matière de traitement à des fins de surveillance contenant des données biométriques (siehe Anhang 44 : Délibération n°89/2005 du 21 décembre 2005 de la Commission nationale pour la protection des données, S. 18) http://www.cnpd.lu/objets/deliberation_89_2005.pdf folgendes empfohlen : „les moyens adoptés par le requérant pour atteindre ces finalités doivent être les plus respectueux possible des droits fondamentaux et des libertés de la personne concernée : or, tout système centralisé de données – comme le traitement envisagé par le requérant - présente un risque particulier de dérive, qui n’existe pas quand les données ne sont pas centralisées. Qui plus est, les systèmes de centralisation de données biométriques qui laissent des traces, comme les empreintes digitales, présentent plus de risques pour la protection des libertés et des droits fondamentaux de la personne que les traitements qui ne prévoient pas une telle centralisation “.
58. Die dezentrale Speicherung von biometrischen Daten wurde ebenfalls in Griechenland9, Italien10 und Slowenien11 empfohlen.
9 Siehe Anhang 45 : Decision Nr. 9/2003 (Hellenic Republic authority for the protection of personal data), S. 4 10 Uso delle impronte digitali per i sistemi di rilevamento delle presenze nei luoghi di lavoro (siehe Anhang 46 : Verifica preliminare (art. 17 del Codice) – 21 luglio 2005, Bollettino del n. 63/luglio 2005 (Garante per la protezione dei dati personali), S. 3) http://www.garanteprivacy.it/garante/doc.jsp?ID=1150679 Trattamento dei dati biometrici di dipendenti per garantire la salute pubblica (siehe Anhang 47 : Prescrizioni del Garante [art. 154, 1 c) del Codice] - 15 febbraio 2008 Bollettino del n. 92/febbraio, S. 2) http://www.garanteprivacy.it/garante/doc.jsp?ID=1497675 11 Empfehlung Nr. 751-01-26/2005-01 (administrative procedure on deciding over introduction of biometric measures initiated on request of the Bank of Slovenia) (siehe Anhang 48 : Empfehlung Nr. 751- 01-26/2005-01 (Slowenien), S. 2) http://www.ip-rs.si/index.php?id=369
12/16
59. Zu 3.) Wie die Art. 29-Datenschutzgruppe in ihrer Stellungnahme zum Einsatz von Biometrie, S. 6 und f. festhält, „sind biometrische Systeme, die zur Zugangskontrolle (für Identifikation oder Verifikation) eingesetzt werden, mit geringeren Gefahren für den Schutz der Grundrechte und –freiheiten des Einzelnen verbunden, wenn sie entweder auf Körpermerkmalen basieren, die keine Spuren hinterlassen (z.B. in Form der Hand, aber keine Fingerabdrücke), oder wenn sie zwar Körpermerkmale verwenden, die Spuren hinterlassen, die Daten jedoch nicht auf einem Medium speichern, das sich nicht im Besitz der betroffenen Person befindet (mit anderen Worten, wenn die Daten nicht im Gerät, das den Zugang kontrolliert, oder in einer zentralen Datenbank gespeichert werden)“. Zudem sind biometrische Erkennungssysteme weniger geeignet, die Grundrechte und –Freiheiten des Einzelnen zu verletzen, wenn sie sich nicht auf Körpermerkmale abstützen, welche unbemerkt von der betroffenen Person erhoben werden können (z.B. Fingerabdruck auf einem Glas, etc.).
60. Dazu hat die CNIL in Délibération n°2006-103 du 27 avril 2006 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès au restaurant scolaire, folgendes emfohlen (siehe Anhang 49 : Délibération n°2006-103 du 27 avril 2006 (CNIL ), S. 2) http://www.cnil.fr/index.php?id=2012&print=1 „Les personnes habilitées énumérées ci-dessus ne peuvent avoir accès au gabarit de l’empreinte digitale que de façon temporaire et pour les stricts besoins de son inscription sur le support individuel ou de sa suppression“.
61. Zu 4.) Die Zuverlässigkeit und Sicherheit des biometrischen Erkennungssystems hat einen bedeutenden Einfluss auf eine mögliche Verletzung und die Gefahren im Hinblick auf den Schutz der Grundrechte und –freiheiten des Einzelnen. Vor diesem Hintergrund ist es notwendig die nachfolgenden Elemente im Hinblick auf die Konzeption von solchen Systemen in die Erwägungen mit einzubeziehen: Die Architektur des Systems (insbesondere dessen Ausgestaltung, Zuverlässigkeit und die Installationsorte der Lesegeräte sowie das verwendete Kommunikationsnetzwerk und die Art der Speicherung der biometrischen Daten), die Extraktionsalgorithmen (Zahl der erhobenen Charakteristiken der biometrischen Information) und Vergleichsalgorithmen12 (FAR/FRR) sowie die technischen und organisatorischen Sicherheitsmassnahmen (insbesondere die Verschlüsselung der Daten).
62. Dazu hat die OCDE empfohlen, dass die Sicherheit des biometrischen Erkennungssystems sich auf die „Lignes directrices de l’OCDE sur la vie privée“ und die „Lignes directrices de l’OCDE sur la sécurité“ stutzt (siehe Anhang 51 : Technologies fondées sur la biométrie (document DSTI/ICCP/REG(2003)2/FINAL), S. 5) http://appli1.oecd.org/olis/2003doc.nsf/linkto/dsti-iccp-reg(2003)2-final
12 Siehe Anhang 50 : FIDIS Deliverable 3.10 Biometrics in identity management , S. 26 ff., Nr. 3.1.4 http://www.fidis.net/fileadmin/fidis/deliverables/fidis-wp3del3.10.biometrics_in_identity_management.pdf)
13/16
63. Im Fall der KSS geht es um eine biometrische Verifizierung mit Erfassung von Fingerabdrücken (die Spuren hinterlassen), welche zentral gespeichert werden, ausschliesslich darum, den Missbrauch von Dauerkarten (Saisonabonnemente und Jahreskarten) automatisiert zu verhindern. Im Hinblick auf die Bearbeitungszwecke, kann der EDÖB die Einführung des biometrisches Erkennungssystems unter Vorbehalt akzeptieren. Obwohl, allerdings die von KSS eingeführten Massnahmen und durchgeführten Datenbearbeitungen geeignet sind das angestrebte Ziel zu erreichen, stehen diese nicht in einem vernünftigen Verhältnis zum Eingriff in die Grundrechte der betroffenen Personen. Die Konformität der Datenbearbeitung mit dem Datenschutzgesetz, insbesondere mit den Grundsätzen des Datenschutzes, muss vorgängig überprüft werden. Diesbezüglich, stellen die von der KSS erwähnten hohen Anschaffungskosten und der zusätzliche logistische Aufwand (siehe Anhang 32 : Schreiben der KSS vom 29. Februar 2008 (Ablehnung der Empfehlung Nr. 2)) kein stichhaltiges Argument dar. Dabei ist zunächst darauf hinzuweisen, dass es sich hier nicht um Anschaffungs- sondern Änderungskosten handelt. Hätte sich die KSS rechtzeitig über die datenschutzrechtlichen Anforderungen an einer solchen Anlage informiert, wären diese Änderungskosten nicht entstanden. Es liegt in der Verantwortung des Inhabers einer Datensammlung dafür zu sorgen, dass eine Anlage zum vornherein datenschutzkonform ist. Infolgedessen, sind die von KSS durchgeführten Datenbearbeitungen (zentrale Speicherung der biometrischen Daten) als unverhältnismässig zu qualifizieren (Basler Kommentar zum DSG, Urs Maurer-Lambrou/Andreas Steiner zu Art. 4 DSG, Rz. 9 und 11).
3. Schlussfolgerung
64. Aus den dargelegten Gründen und nach einer Interessenabwägung, hat der EDÖB in seiner Empfehlung vom 11. April 2006 den Einsatz von einem milderen Mittel, “Smartcards match on card“, empfohlen : “Nach Ansicht des EDSB wird beim Einsatz von Biometrie im Privatbereich der Persönlichkeitsschutz der Betroffenen am ehesten gewahrt, indem: die biometrischen Daten auf einem Sicherheitsmedium, das sich in der alleinigen Kontrolle der betroffenen Person befindet, auslesesicher gespeichert werden; die betroffene Person jeden Zugriff auf die Daten explizit und bewusst freigeben muss; und die Verifizierung der Identität ausschliesslich auf diesem Sicherheitsmedium stattfindet, so dass die biometrischen Daten zu keinem Zeitpunkt die gesicherte Umgebung des Mediums und die Kontrolle der betroffenen Person verlassen.“ (siehe Anhang 14 : Schreiben des EDÖB vom 11. April 2006 (Empfehlung), Kapitel II, Nr. 2, S. 3). Der EDÖB hat demnach empfohlen, dass „auf die zentrale Speicherung der biometrischen Daten in Form von Templates der Fingerabdrücke verzichtet wird und diese biometrischen Daten – auch diejenigen, welche bereits zentral erfasst wurden – auf einer Smart Card, welche in der Benutzersphäre und unter Kontrolle der betroffenen Person verbleibt, abgelegt werden“. (siehe Anhang 14 : Schreiben des EDÖB vom 11. April 2006 (Empfehlung), Kapitel III, Nr. 2, S. 4)
65. Eine Dezentralisierung der biometrischen Daten, welche den betroffenen Personen lediglich eine beschränkte Kontrolle über ihre personenbezogenen Daten gewährleistet (bspw. “Template on card“, siehe Anhang 1 : Definitionen, Nr. 10, 13 und 14) ist aus Sicht des EDÖB als ungenügend anzusehen; da die biometrische Referenzdaten ohne Kenntnis der betroffenen Personen exportiert, kopiert und unbefugt weiterverarbeitet werden könnten.
14/16
V. Fazit
66. Aus den dargelegten Gründen, sind die von der KSS vorgenommene Datenbearbeitungen datenschutzwidrig. Die KSS ist daher auszufordern die von ihr zur Verifizierung verwendeten biometrischen Daten (Templates der Fingerabdrücke) dezentral zu speichern, mittels einer Smartcard Match on card, welche sich in der Einflusssphäre und unter Kontrollbereich der betroffenen Person befindet, sowie über welche die biometrische Verifizierung stattfindet. Damit sollen die biometrischen Daten zu keinem Zeitpunkt die gesicherte Umgebung des Mediums und die Kontrolle der betroffenen Person verlassen. Daher ist das eingangsgestellte Begehren gutzuheissen und die Empfehlungsadressatin insbesondere zu verpflichten, auf die zentrale Speicherung von biometrischen Daten in Form von Templates der Fingerabdrücke zu verzichten.
EIDGENÖSSISCHER DATENSCHUTZ- UND ÖFFENTLICHKEITSBEAUFTRAGTER
Hanspeter Thür
15/16
Beilagen: Anhang 1 : Definitionen zur Biometrie Anhang 2 : Schreiben des EDÖB vom 6. Juni 2005 (Sachverhaltsabklärung) Anhang 3 : Schreiben der KSS vom 29. Juni 2005 Anhang 4 : Schreiben des EDÖB vom 4. August 2005 Anhang 5 : Schreiben der KSS vom 19. August 2005 Anhang 6 : E-Mail des EDÖB vom 25. August 2005 (Bestätigung des Termins) Anhang 7 : Anruf der KSS vom 7. September 2005 (Verschiebungsanfrage) Anhang 8 : E-Mail des EDÖB vom 30. November 2005 (Vorgehen Datenschutzkontrolle) Anhang 9 : Schreiben des EDÖB vom 14. Dezember 2005 (Fact-Sheet) Anhang 10 : Schreiben der KSS vom 20 Januar 2006 (Bitte um Fristerstreckung) Anhang 11 : E-Mail des EDÖB vom 24. Januar 2006 (Fristerstreckung bis 3. Februar 2006)) Anhang 12 : Schreiben der KSS vom 1. Februar 2006 (Bestätigung der Richtigkeit des Fact-Sheets) Anhang 13 : Schreiben des EDÖB vom 11. April 2006 (Schlussbericht) Anhang 14 : Schreiben des EDÖB vom 11. April 2006 (Empfehlung) Anhang 15 : Schreiben der KSS vom 18. Mai 2006 (Bitte um Fristverlängerung) Anhang 16 : Schreiben des EDÖB vom 24. Mai 2006 (Fristerstreckung bis 19. Juni 2006) Anhang 17 : Schreiben der KSS vom 19. Juni 2006 (zweite Bitte um Fristverlängerung) Anhang 18 : Schreiben des EDÖB vom 21. Juni 2006 (zweite Fristerstreckung bis 10. August 2006) Anhang 19 : Schreiben der KSS vom 10. August 2006 (Stellungnahme zu unseren 5 Empfehlungen) Anhang 20 : Schreiben des EDÖB vom 31. August 2006 (Bitte um Nachlieferung der Stellungnahme zu den Verbesserungsvorschlägen und zur Erläuterung der Stellungnahme zu Empfehlung Nr. 4) Anhang 21 : Schreiben der KSS vom 15. September 2006 (Bitte um Fristverlängerung) Anhang 22 : Schreiben des EDÖB vom 20. September 2006 (Fristerstreckung bis 19. Oktober 2006) Anhang 23 : Schreiben der KSS vom 18. Oktober 2006 (Massnahmen zur Empfehlung Nr. 2) Anhang 24 : Schreiben des EDÖB vom 10. November 2006 (Bitte um Zustellung einem Implementierungsbericht bezüglich der Umsetzung sämtlicher vom EDÖB erlassenen Empfehlungen und Verbesserungsvorschläge) Anhang 25 : Schreiben des EDÖB vom 22. November 2006 (Bericht zur Publikation) Anhang 26 : Schreiben der KSS vom 1. Juni 2007 (Bemerkungen zum kürzen Implementierungsbericht) Anhang 27 : Schreiben des EDÖB vom 28. Juni 2007 (Nachforderung für die Frist um die Beschaffung des Implementierungsberichts) Anhang 28 : Schreiben der KSS vom 26. Juli 2007 Anhang 29 : Schreiben des EDÖB vom 27. August 2007 (Nachkontrolle) Anhang 30 : Schreiben des EDÖB vom 4. Dezember 2007 (zweite Nachkontrolle und Frist bis 15.01.2008) Anhang 31 : Schreiben der KSS vom 14. Januar 2008 (Abgenommene Frist) Anhang 32 : Schreiben der KSS vom 29. Februar 2008 (Ablehnung der Empfehlung Nr. 2) Anhang 33 : Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Anhang 34 : Arbeitspapier über Biometrie (WP Nr. 80)
16/16
Anhang 35 : Rapport d’étape sur les principes de l’application de la Convention 108 à la collecte et au traitement des données biométriques Anhang 36 : Datenschutzbeauftragter Kanton Zürich, Tätigkeitsbericht 2005 Anhang 37 : Bericht über das Pilotprojekt Secure Check - Einsatz von Biometrie beim Check-In und Boarding am Flughafen Zürich-Kloten Anhang 38 : Délibération n°2007-138 du 21 juin 2007 (CNIL) Anhang 39 : Délibération n°2006-102 du 27 avril 200 6 (CNIL) Anhang 40 : Délibération n°2005-115 du 7 juin 2005 (CNIL) Anhang 41 : Délibération n°04-018 (CNIL) Anhang 42 : Délibération n°04-017 (CNIL) Anhang 43 : Tribunal de grande instance de Paris 1ère chambre, section sociale Jugement du 19 avril 2005 Comité d’entreprise d’Effia Services, Syndicat Sud Rail / Effia Services Anhang 44 : Délibération n°89/2005 du 21 décembre 2 005 de la Commission nationale pour la protection des données Anhang 45 : Decision Nr. 9/2003 (Hellenic Republic authority for the protection of personal data) Anhang 46 : Verifica preliminare (art. 17 del Codice) – 21 luglio 2005, Bollettino del n. 63/luglio 2005 (Garante per la protezione dei dati personali) Anhang 47 : Prescrizioni del Garante [art. 154, 1 c) del Codice] - 15 febbraio 2008 Bollettino del n. 92/febbraio Anhang 48 : Empfehlung Nr. 751-01-26/2005-01 (Slowenien) Anhang 49 : Délibération n°2006-103 du 27 avril 200 6 (CNIL) Anhang 50 : FIDIS Deliverable 3.10 Biometrics in identity management Anhang 51 : Technologies fondées sur la biométrie (document DSTI/ICCP/REG(2003)2/FINAL)