Inter­pel­la­ti­on Mar­ti (19.3659): Swis­s­com lan­ciert Daten­kra­ken Beem: Wie ist das mit der Eig­ner­stra­te­gie des Bun­des vereinbar?

Ein­ge­reich­ter Text

In den letz­ten Wochen wur­de die Öffent­lich­keit über umfas­sen­de tech­no­lo­gi­sche Ver­än­de­run­gen im Wer­be­markt infor­miert. Die Swis­s­com will mit Beem “klas­si­sche Wer­be­kam­pa­gnen inter­ak­tiv und Smar­te­pho­ne-fähig” machen, wie in einer Medi­en­mit­tei­lung kom­mu­ni­ziert wur­den. Ähn­lich funk­tio­niert “Aymo”, ein Ange­bot der APG: Via hoch­fre­quen­tier­ter Ton-Signa­le wer­den benut­zer­spe­zi­fi­sche Wer­bun­gen ange­zeigt, abhän­gig vom kon­su­mier­ten Inhalt der ent­spre­chen­den App (20 Minu­ten, Wat­son, Blue­win). Wäh­rend der Start von Beem durch etli­che Beschwer­den ver­zö­gert wur­de, ist Amyo bereits heu­te in Gebrauch und erfasst u.a. den Stand­ort der Nut­ze­rin­nen, wenn die­ser bei den ent­spre­chen­den Apps frei­ge­ge­ben wur­de. Obwohl die APG dar­auf besteht, dass sie kei­nen Zugriff auf IP-Adres­se, Han­dy­num­mer, Name und Mail­adres­se hät­ten, erstel­len sie laut eige­nen Anga­ben Zielgruppen-Profile.

Ich bit­te den Bun­des­rat um die Beant­wor­tung fol­gen­der Fragen:

1. War­um wur­de Beem bis­her nicht durch den EDÖB geprüft?

2. Unter­stützt der Bund als Eig­ner der Swis­s­com ent­spre­chen­de Geschäfts­stra­te­gien? Warum/Warum nicht?

3. Wie vie­le ande­re ver­gleich­ba­re Ange­bo­te via Blue­tooth oder GPS gibt es in der Schweiz?

4. Inwie­fern ist sicher­ge­stellt, dass bei die­sen Ange­bo­ten tat­säch­lich nur ans Han­dy gesen­det, nicht aber durch das Han­dy geant­wor­tet wird?

5. Inwie­fern kön­nen die Anbie­ter zu einem akti­ven Opt-ln/­Opt-Out (auch bei wie­der­keh­ren­der Ver­wen­dung) ver­pflich­tet werden?

6. Wie beur­teilt der Bun­des­rat die Tat­sa­che, dass in den Daten­schutz­be­stim­mun­gen von Beem die Wei­ter­ver­wen­dung durch Drit­te expli­zit nicht aus­ge­schlos­sen und alle Ver­ant­wor­tung auf die Nut­ze­rin­nen gescho­ben wird?

7.Was pas­siert, wenn ent­spre­chen­de Daten­samm­lun­gen über­ein­an­der gelegt wer­den (Stand­ort mit bspw. Ver­eins­mit­glied­schaf­ten o.ä.)?

8. Wie vie­le Men­schen und/oder Tie­re emp­fin­den Ultra­schall-Töne als störend?

9. Sol­len sol­che Ultra­schall­tö­ne über das öffent­lich-recht­li­che Fern­se­hen gesen­det werden?

10. Inwie­fern plant der Bun­des­rat, For­schungs­gel­der zu Cyber­si­cher­heit von Kon­su­men­tin­nen zu spre­chen (statt nur Behör­den und Firmen)?

Stel­lung­nah­me des Bun­des­rats vom 14.8.19

1. Um den Daten­schutz und die Daten­si­cher­heit zu ver­bes­sern, kön­nen die Her­stel­ler von Daten­be­ar­bei­tungs­sy­ste­men oder ‑pro­gram­men sowie pri­va­te Per­so­nen oder Bun­des­or­ga­ne, die Per­so­nen­da­ten bear­bei­ten, ihre Syste­me, Ver­fah­ren und ihre Orga­ni­sa­ti­on einer Bewer­tung durch aner­kann­te unab­hän­gi­ge Zer­ti­fi­zie­rungs­stel­len unter­zie­hen. Der Eid­ge­nös­si­sche Daten­schutz- und Öffent­lich­keits­be­auf­trag­te (EDÖB) selbst kann kei­ne Prü­fun­gen im Sin­ne von Zer­ti­fi­zie­run­gen von Daten­be­ar­bei­tungs­sy­ste­men vornehmen.

Der EDÖB berät und beauf­sich­tigt aber Pri­vat­per­so­nen und Bun­des­or­ga­ne in Hin­blick auf die Ein­hal­tung der gesetz­li­chen Daten­schutz­be­stim­mun­gen. Das bedeu­tet, dass der EDÖB einer­seits dazu bei­trägt, die Per­so­nen, die Per­so­nen­da­ten bear­bei­ten (also die Inha­ber von Daten­samm­lun­gen), aber auch die Per­so­nen, über die Daten bear­bei­tet wer­den (also die betrof­fe­nen Per­so­nen) für Aspek­te des Daten­schut­zes zu sen­si­bi­li­sie­ren und sie zu informieren.

Ande­rer­seits kann der Beauf­trag­te dann ein­schrei­ten, wenn die Inha­ber von Daten­samm­lun­gen die Grund­sät­ze des Daten­schut­zes nicht ein­hal­ten. Auch bezüg­lich Beem beob­ach­tet der EDÖB des­halb die Situa­ti­on genau und behält sich geeig­ne­te Mass­nah­men vor, wenn sich Anzei­chen ver­dich­ten soll­ten, dass mit Beem die Per­sön­lich­keits­rech­te der betrof­fe­nen Per­so­nen wider­recht­lich ver­letzt wer­den sollten.

2. Der Bun­des­rat steu­ert die Swis­s­com mit der Vor­ga­be von stra­te­gi­schen Zie­len. Dabei erwar­tet er, dass die Swis­s­com betriebs­wirt­schaft­lich geführt wird, wett­be­werbs­fä­hig und kun­den­ori­en­tiert ist. Eben­so, dass sie erfolg­reich Netz­in­fra­struk­tu­ren und dar­auf basie­ren­de Dien­ste in den kon­ver­gie­ren­den Märk­ten Tele­kom­mu­ni­ka­ti­on, Infor­ma­ti­ons­tech­no­lo­gie, Rund­funk, Medi­en und Unter­hal­tung anbie­tet und damit einen Bei­trag zur Digi­ta­li­sie­rung aller Regio­nen in der Schweiz lei­stet. Auf das ope­ra­ti­ve Geschäft nimmt der Bun­des­rat hin­ge­gen kei­nen Einfluss.

3. Bei Blue­tooth wer­den Signa­le direkt zwi­schen Pla­kat und Mobil­te­le­fon über­tra­gen. Die GPS-Koor­di­na­ten wer­den inner­halb des Mobil­te­le­fons ver­ar­bei­tet. Bei­des geschieht also ohne Zutun von Fern­mel­de­dienst­an­bie­te­rin­nen, die gemäss dem Fern­mel­de­ge­setz (FMG; SR 784.10) der Auf­sicht des BAKOM unter­ste­hen, sowie ohne Zutun ande­rer Unter­neh­men, die einer spe­zi­fi­schen behörd­li­chen Auf­sicht unter­ste­hen. Der Bun­des­rat hat des­halb kei­ne Infor­ma­tio­nen dar­über, wie vie­le ver­gleich­ba­re Ange­bo­te es in der Schweiz gibt.

4. Da es sich nicht um eine elek­tro­ma­gne­ti­sche Über­tra­gung gemäss FMG han­delt, die der Auf­sicht des BAKOM unter­lie­gen wür­de, son­dern um Schall­über­tra­gung, hat der Bun­des­rat zu die­ser Fra­ge kei­ne Informationen.

5. Die durch die Blue­tooth-Signa­le auf den ent­spre­chen­den Apps erschei­nen­de Wer­bung dürf­te Mas­sen­wer­bung i.S.v. Art. 3 Abs. 1 Bst. o UWG dar­stel­len. Der Wer­ben­de muss des­halb sei­ne Iden­ti­tät bekannt geben und vor der Aus­strah­lung der Wer­bung die Zustim­mung des Emp­fän­gers ein­ho­len (Opt-In). Fer­ner muss bei wie­der­keh­ren­der Wer­bung sicher­ge­stellt sein, dass sie eine ein­fa­che und kosten­lo­se Ableh­nungs­mög­lich­keit ent­hält, wel­che dem Emp­fän­ger erlaubt, die Wer­bung wie­der abzu­stel­len (Opt-Out). Inso­weit sind die Anbie­ter bereits heu­te zu einem akti­ven Opt-In und Opt-Out verpflichtet.

Fer­ner dürf­te das Prin­zip der Klar­heit und Wahr­heit im Wett­be­werb gebie­ten, dass dem Benut­zer offen­ge­legt wird, dass die Wer­bung benut­zer­spe­zi­fisch ist.

6. Bei einer Bekannt­ga­be von Per­so­nen­da­ten an Drit­te und deren Wei­ter­ver­wen­dung sind die Vor­schrif­ten des Daten­schut­zes ein­zu­hal­ten. Eine Wei­ter­ga­be kann z.B. durch die Ein­wil­li­gung der betrof­fe­nen Per­so­nen gerecht­fer­tigt wer­den. Gemäss den Infor­ma­tio­nen von Swis­s­com wür­den die Daten nur mit expli­zi­tem Ein­ver­ständ­nis des Kun­den wei­ter­ge­ge­ben. Und dies nur, wenn die Kund­schaft den Daten­schutz­richt­li­ni­en der Wer­be­trei­ben­den zustimmt.

7. Grund­sätz­lich hat jeder Daten­in­ha­ber die Pflicht, die unter­schied­li­chen Daten­samm­lun­gen klar getrennt von­ein­an­der zu hal­ten und durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men die Daten­si­cher­heit zu gewähr­lei­sten. Aus daten­schutz­recht­li­cher Sicht ver­let­zen Ver­knüp­fun­gen oder Kom­bi­na­tio­nen von Daten aus unter­schied­li­chen Quel­len in der Regel die Per­sön­lich­keit von betrof­fe­nen Per­so­nen. Nach dem Prin­zip der Zweck­be­stim­mung dür­fen Per­so­nen­da­ten nur zu dem Zweck bear­bei­tet wer­den, der bei der Beschaf­fung ange­ge­ben wur­de, aus den Umstän­den ersicht­lich oder gesetz­lich vor­ge­se­hen ist. Betrof­fe­ne Per­so­nen müs­sen daher vor der Ver­knüp­fung mit ande­ren Daten aus­führ­lich über die wei­te­re Daten­be­ar­bei­tung infor­miert wer­den und ihre Zustim­mung dazu ertei­len kön­nen. Ohne eine sol­che Zustim­mung sind sol­che Kom­bi­na­tio­nen nur mög­lich, wenn ein Gesetz dies vor­sieht oder über­wie­gen­de pri­va­te oder öffent­li­che Inter­es­sen vor­lie­gen.

8. Wie bereits in der Fra­ge­stun­de zu Beem (19.5370 Mass­hardt) dar­ge­legt, hängt die Stör­emp­fin­dung von Men­schen und Tie­ren stark von der Fre­quenz und der Laut­stär­ke sol­cher Töne ab. Die Schwel­len der Wahr­nehm­bar­keit und der erheb­li­chen Stö­rung lie­gen bei die­sen Tönen eng bei­ein­an­der. Ist also ein sol­cher Ton hör­bar, ist er meist schon stö­rend. Auch für Tie­re kön­nen sol­che hoch­fre­quen­ten Signa­le stö­rend oder erschreckend wir­ken, was z.B. bei Kat­zen- und Mar­der­schreck­ge­rä­ten zur Anwen­dung gelangt.

Ob sol­che lästi­gen oder schäd­li­chen Stö­run­gen bei der neu­en Wer­be­tech­nik auf­tre­ten kön­nen, wird von den zustän­di­gen Bun­des­äm­tern im UVEK gegen­wär­tig abge­klärt. Die Abklä­run­gen beinhal­ten neben der Begut­ach­tung der tech­ni­schen Aus­ge­stal­tung der Wer­be­tech­nik auch Mes­sun­gen der Töne bei kon­kre­ten Gerä­ten. Die Ergeb­nis­se soll­ten im Ver­lauf die­ses Jah­res vor­lie­gen und wer­den auf den Inter­net­sei­ten des BAFU und des BAKOM veröffentlicht.

9. Dem Bun­des­rat sind kei­ne kon­kre­ten Pro­jek­te bekannt, die Töne für die inter­ak­ti­ven Wer­be­kam­pa­gnen auch über die TV-Kanä­le der SRG auszustrahlen.

10. Gemäss der “Natio­na­len Stra­te­gie zum Schutz der Schweiz vor Cyber-Risi­ken 2018 – 2022″ ist bis­her kei­ne spe­zi­fi­sche For­schungs­för­de­rung zu Cyber-Sicher­heit bei Behör­den und Fir­men vor­ge­se­hen. For­schungs­gel­der wer­den über die bestehen­den Gefä­sse und Pro­zes­se (z.B. über den Natio­nal­fonds) zur Ver­fü­gung gestellt. Die­se ste­hen für Anträ­ge aus allen Berei­chen, also auch für Pro­jek­te mit Bezug zur Cyber-Sicher­heit von Kon­su­men­tin­nen und Kon­su­men­ten zur Verfügung.

AI-generierte Takeaways können falsch sein.