Interpellation Marti (19.3659): Swisscom lanciert Datenkraken Beem: Wie ist das mit der Eignerstrategie des Bundes vereinbar?
Eingereichter Text
In den letzten Wochen wurde die Öffentlichkeit über umfassende technologische Veränderungen im Werbemarkt informiert. Die Swisscom will mit Beem “klassische Werbekampagnen interaktiv und Smartephone-fähig” machen, wie in einer Medienmitteilung kommuniziert wurden. Ähnlich funktioniert “Aymo”, ein Angebot der APG: Via hochfrequentierter Ton-Signale werden benutzerspezifische Werbungen angezeigt, abhängig vom konsumierten Inhalt der entsprechenden App (20 Minuten, Watson, Bluewin). Während der Start von Beem durch etliche Beschwerden verzögert wurde, ist Amyo bereits heute in Gebrauch und erfasst u.a. den Standort der Nutzerinnen, wenn dieser bei den entsprechenden Apps freigegeben wurde. Obwohl die APG darauf besteht, dass sie keinen Zugriff auf IP-Adresse, Handynummer, Name und Mailadresse hätten, erstellen sie laut eigenen Angaben Zielgruppen-Profile.
Ich bitte den Bundesrat um die Beantwortung folgender Fragen:
1. Warum wurde Beem bisher nicht durch den EDÖB geprüft?
2. Unterstützt der Bund als Eigner der Swisscom entsprechende Geschäftsstrategien? Warum/Warum nicht?
3. Wie viele andere vergleichbare Angebote via Bluetooth oder GPS gibt es in der Schweiz?
4. Inwiefern ist sichergestellt, dass bei diesen Angeboten tatsächlich nur ans Handy gesendet, nicht aber durch das Handy geantwortet wird?
5. Inwiefern können die Anbieter zu einem aktiven Opt-ln/Opt-Out (auch bei wiederkehrender Verwendung) verpflichtet werden?
6. Wie beurteilt der Bundesrat die Tatsache, dass in den Datenschutzbestimmungen von Beem die Weiterverwendung durch Dritte explizit nicht ausgeschlossen und alle Verantwortung auf die Nutzerinnen geschoben wird?
7.Was passiert, wenn entsprechende Datensammlungen übereinander gelegt werden (Standort mit bspw. Vereinsmitgliedschaften o.ä.)?
8. Wie viele Menschen und/oder Tiere empfinden Ultraschall-Töne als störend?
9. Sollen solche Ultraschalltöne über das öffentlich-rechtliche Fernsehen gesendet werden?
10. Inwiefern plant der Bundesrat, Forschungsgelder zu Cybersicherheit von Konsumentinnen zu sprechen (statt nur Behörden und Firmen)?
Stellungnahme des Bundesrats vom 14.8.19
1. Um den Datenschutz und die Datensicherheit zu verbessern, können die Hersteller von Datenbearbeitungssystemen oder ‑programmen sowie private Personen oder Bundesorgane, die Personendaten bearbeiten, ihre Systeme, Verfahren und ihre Organisation einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) selbst kann keine Prüfungen im Sinne von Zertifizierungen von Datenbearbeitungssystemen vornehmen.
Der EDÖB berät und beaufsichtigt aber Privatpersonen und Bundesorgane in Hinblick auf die Einhaltung der gesetzlichen Datenschutzbestimmungen. Das bedeutet, dass der EDÖB einerseits dazu beiträgt, die Personen, die Personendaten bearbeiten (also die Inhaber von Datensammlungen), aber auch die Personen, über die Daten bearbeitet werden (also die betroffenen Personen) für Aspekte des Datenschutzes zu sensibilisieren und sie zu informieren.
Andererseits kann der Beauftragte dann einschreiten, wenn die Inhaber von Datensammlungen die Grundsätze des Datenschutzes nicht einhalten. Auch bezüglich Beem beobachtet der EDÖB deshalb die Situation genau und behält sich geeignete Massnahmen vor, wenn sich Anzeichen verdichten sollten, dass mit Beem die Persönlichkeitsrechte der betroffenen Personen widerrechtlich verletzt werden sollten.
2. Der Bundesrat steuert die Swisscom mit der Vorgabe von strategischen Zielen. Dabei erwartet er, dass die Swisscom betriebswirtschaftlich geführt wird, wettbewerbsfähig und kundenorientiert ist. Ebenso, dass sie erfolgreich Netzinfrastrukturen und darauf basierende Dienste in den konvergierenden Märkten Telekommunikation, Informationstechnologie, Rundfunk, Medien und Unterhaltung anbietet und damit einen Beitrag zur Digitalisierung aller Regionen in der Schweiz leistet. Auf das operative Geschäft nimmt der Bundesrat hingegen keinen Einfluss.
3. Bei Bluetooth werden Signale direkt zwischen Plakat und Mobiltelefon übertragen. Die GPS-Koordinaten werden innerhalb des Mobiltelefons verarbeitet. Beides geschieht also ohne Zutun von Fernmeldedienstanbieterinnen, die gemäss dem Fernmeldegesetz (FMG; SR 784.10) der Aufsicht des BAKOM unterstehen, sowie ohne Zutun anderer Unternehmen, die einer spezifischen behördlichen Aufsicht unterstehen. Der Bundesrat hat deshalb keine Informationen darüber, wie viele vergleichbare Angebote es in der Schweiz gibt.
4. Da es sich nicht um eine elektromagnetische Übertragung gemäss FMG handelt, die der Aufsicht des BAKOM unterliegen würde, sondern um Schallübertragung, hat der Bundesrat zu dieser Frage keine Informationen.
5. Die durch die Bluetooth-Signale auf den entsprechenden Apps erscheinende Werbung dürfte Massenwerbung i.S.v. Art. 3 Abs. 1 Bst. o UWG darstellen. Der Werbende muss deshalb seine Identität bekannt geben und vor der Ausstrahlung der Werbung die Zustimmung des Empfängers einholen (Opt-In). Ferner muss bei wiederkehrender Werbung sichergestellt sein, dass sie eine einfache und kostenlose Ablehnungsmöglichkeit enthält, welche dem Empfänger erlaubt, die Werbung wieder abzustellen (Opt-Out). Insoweit sind die Anbieter bereits heute zu einem aktiven Opt-In und Opt-Out verpflichtet.
Ferner dürfte das Prinzip der Klarheit und Wahrheit im Wettbewerb gebieten, dass dem Benutzer offengelegt wird, dass die Werbung benutzerspezifisch ist.
6. Bei einer Bekanntgabe von Personendaten an Dritte und deren Weiterverwendung sind die Vorschriften des Datenschutzes einzuhalten. Eine Weitergabe kann z.B. durch die Einwilligung der betroffenen Personen gerechtfertigt werden. Gemäss den Informationen von Swisscom würden die Daten nur mit explizitem Einverständnis des Kunden weitergegeben. Und dies nur, wenn die Kundschaft den Datenschutzrichtlinien der Werbetreibenden zustimmt.
7. Grundsätzlich hat jeder Dateninhaber die Pflicht, die unterschiedlichen Datensammlungen klar getrennt voneinander zu halten und durch geeignete technische und organisatorische Massnahmen die Datensicherheit zu gewährleisten. Aus datenschutzrechtlicher Sicht verletzen Verknüpfungen oder Kombinationen von Daten aus unterschiedlichen Quellen in der Regel die Persönlichkeit von betroffenen Personen. Nach dem Prinzip der Zweckbestimmung dürfen Personendaten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Betroffene Personen müssen daher vor der Verknüpfung mit anderen Daten ausführlich über die weitere Datenbearbeitung informiert werden und ihre Zustimmung dazu erteilen können. Ohne eine solche Zustimmung sind solche Kombinationen nur möglich, wenn ein Gesetz dies vorsieht oder überwiegende private oder öffentliche Interessen vorliegen.
8. Wie bereits in der Fragestunde zu Beem (19.5370 Masshardt) dargelegt, hängt die Störempfindung von Menschen und Tieren stark von der Frequenz und der Lautstärke solcher Töne ab. Die Schwellen der Wahrnehmbarkeit und der erheblichen Störung liegen bei diesen Tönen eng beieinander. Ist also ein solcher Ton hörbar, ist er meist schon störend. Auch für Tiere können solche hochfrequenten Signale störend oder erschreckend wirken, was z.B. bei Katzen- und Marderschreckgeräten zur Anwendung gelangt.
Ob solche lästigen oder schädlichen Störungen bei der neuen Werbetechnik auftreten können, wird von den zuständigen Bundesämtern im UVEK gegenwärtig abgeklärt. Die Abklärungen beinhalten neben der Begutachtung der technischen Ausgestaltung der Werbetechnik auch Messungen der Töne bei konkreten Geräten. Die Ergebnisse sollten im Verlauf dieses Jahres vorliegen und werden auf den Internetseiten des BAFU und des BAKOM veröffentlicht.
9. Dem Bundesrat sind keine konkreten Projekte bekannt, die Töne für die interaktiven Werbekampagnen auch über die TV-Kanäle der SRG auszustrahlen.
10. Gemäss der “Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken 2018 – 2022″ ist bisher keine spezifische Forschungsförderung zu Cyber-Sicherheit bei Behörden und Firmen vorgesehen. Forschungsgelder werden über die bestehenden Gefässe und Prozesse (z.B. über den Nationalfonds) zur Verfügung gestellt. Diese stehen für Anträge aus allen Bereichen, also auch für Projekte mit Bezug zur Cyber-Sicherheit von Konsumentinnen und Konsumenten zur Verfügung.