Interpellation Schwaab (15.3822): Kinderkrankheiten des neuen Abonnements des öffentlichen Verkehrs “Swiss Pass” schnell kurieren
Hängig, Diskussion verschoben (18.12.2015)
Siehe dazu auch «Swiss Pass»: EDÖB fordert Löschung der Kontrolldaten
Eingereichter Text
Ich stelle dem Bundesrat folgende Fragen:
1. Ist sich der Bundesrat bewusst, dass die Datenschutzregelungen bezüglich des “Swiss Pass” gegen die modernen Konzepte des Datenschutzes verstossen? So etwa gegen den Datenschutz durch Technik (“privacy by design”) oder den Datenschutz durch Voreinstellungen (“privacy by default”), beides Prinzipien, die der Bundesrat in seinen Antworten auf meine Postulate 13.3806 und 13.3807 unterstützt hat.
2. Sind diese Art der Bearbeitung von Personendaten und deren Weitergabe an Dritte legal?
3. Wird der Bundesrat bei den SBB und den anderen betroffenen Unternehmen des öffentlichen Verkehrs (sowie ihren Eigentümerinnen und Eigentümern) intervenieren, damit der “Swiss Pass” den Datenschutz durch Technik und den Datenschutz durch Voreinstellungen gewährleistet? Wenn nein, warum nicht?
4. Es besteht das Risiko, dass die Ticketkontrollen in den öffentlichen Verkehrsmitteln deutlich länger dauern, da jeder “Swiss Pass” einzeln gescannt werden muss und deshalb nicht nur weniger Personen kontrolliert werden können, sondern auch dem Personal sowie den Benutzerinnen und Benutzern das Leben unnötig schwer gemacht wird? Ist sich der Bundesrat dieses Risikos bewusst? Wird er intervenieren, um diesen Prozess zu vereinfachen?
5. Da die Kontrollen länger dauern, können weniger Personen kontrolliert werden. Denkt der Bundesrat, dass dadurch Schwarzfahrerinnen und Schwarzfahrern Vorschub geleistet wird?
6. Wird der Bundesrat intervenieren, damit der “Swiss Pass” einen Namen in einer (oder mehreren) der Landessprachen erhält? Wenn nein, warum nicht?
Begründung
Die SBB und andere Unternehmen des öffentlichen Verkehrs haben das neue Abonnement “Swiss Pass” eingeführt. Dieses neue Abonnement hat nicht nur lediglich einen englischen Namen, sondern garantiert auch den Schutz der Privatsphäre nicht ausreichend. Die persönlichen Daten der Abonnementsinhaberinnen und Abonnementsinhaber können etwa zu Marketingzwecken verwendet werden, sofern sich diese nicht ausdrücklich dagegen ausgesprochen haben. Ausserdem können die Daten an Dritte weitergegeben werden. Die Inhaberinnen und Inhaber des Abonnements werden nicht ausdrücklich über diese Möglichkeit in Kenntnis gesetzt und müssen selbst die nötigen Schritte einleiten, um die Verbreitung ihrer persönlichen Daten zu verhindern. Diese Praxis verstösst gegen die modernen Konzepte des Datenschutzes. Da der “Swiss Pass” sehr viele Abonnemente ablösen wird, ist es äusserst wahrscheinlich, dass die persönlichen Daten von Millionen von Benutzerinnen und Benutzern öffentlicher Verkehrsmittel missbräuchlich bearbeitet werden. Darüber hinaus dauern die Ticketkontrollen aufgrund des neuen Systems länger und dem Personal sowie den Benutzerinnen und Benutzern wird das Leben unnötig erschwert.
Stellungnahme des Bundesrats
1. In der öV-Branche wird unterschieden zwischen Kunden- und Kontrolldaten. Die Einführung des “Swiss Pass” ändert am Umgang mit Kundendaten nichts. Kundendaten werden wie bis anhin für Marketingzwecke verwendet. Dies geschieht nach Angaben der SBB “äusserst zurückhaltend”.
Eine Konkretisierung der Prinzipien “Privacy by Default” (Prinzip der datenschutzfreundlichen Voreinstellungen) und “Privacy by Design” (Prinzip des Datenschutzes durch Technik) wird derzeit sowohl in der Schweiz als auch auf europäischer Ebene im Rahmen der laufenden Datenschutzreformen diskutiert. Im Zusammenhang mit dem “Swiss Pass” sieht der Bundesrat zwei Punkte, welche mit Blick auf diese Prinzipien zu beachten sind. Bezüglich der Kundendaten könnte der Konflikt mit dem Prinzip “Privacy by Default” darin bestehen, dass der Kunde widersprechen muss, wenn er nicht möchte, dass seine Daten für Marketingzwecke verwendet werden. Wer dies nicht will, muss dies per E‑Mail, Telefon oder am Schalter mitteilen.
Bei der Kontrolle eines Reisenden mit einem “Swiss Pass” entsteht jeweils ein Kontrolldatensatz. Die Kontrolldaten werden während 90 Tagen gespeichert. Bezüglich der Kontrolldaten ist diese Speicherung im Lichte des Prinzips “Privacy by Design” zu betrachten: Diese Aufbewahrungsfrist soll nach Angaben der SBB die Möglichkeit zur Bearbeitung allfälliger Kundenreaktionen nach Reisen ermöglichen.
Es obliegt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), zu prüfen, ob Verstösse gegen das geltende Datenschutzgesetz vorliegen und gegebenenfalls für die Beachtung der Vorschriften zu sorgen. Im Rahmen seiner Aufsichtstätigkeit führt der EDÖB jedes Jahr Kontrollen durch, so auch zur Einhaltung der Datenschutzbestimmungen beim “Swiss Pass”. Der Verband öffentlicher Verkehr (VöV) als Herausgeber des “Swiss Pass” und die SBB haben dem EDÖB im Frühjahr 2015 die Massnahmen zum Datenschutz vorgestellt. Die formale Prüfung durch den EDÖB in Form der “Sachverhaltsabklärung ‘Swiss Pass’ ” ist derzeit noch ausstehend. Der VöV und die ihm angeschlossenen Unternehmen kooperieren im Rahmen dieser Prüfung vorbehaltslos mit dem EDÖB.
2. Die SBB versichern, dass zu keinem Zeitpunkt Handel mit den Kundendaten betrieben werde. Eine Datenbekanntgabe an Dritte kann nur dann erfolgen, wenn spezialisierte Partner Leistungen im Auftrag der SBB übernehmen. Eine Datenbekanntgabe an derartige spezialisierte Partnerunternehmen erfolgt nur dann, wenn keine gesetzliche oder vertragliche Geheimhaltungspflicht dies verbietet. Zudem wird der Umgang mit den übermittelten Kundendaten durch die Partnerunternehmen vertraglich geregelt, wobei die Bestimmungen im schweizerischen Datenschutzgesetz zwingende Grundlagen bilden. Der Bundesrat vermag deshalb keine unzulässige Datenbearbeitung durch Dritte erkennen.
3. Der Bundesrat ist davon überzeugt, dass der EDÖB die erforderlichen Massnahmen ergreifen würde, wenn er Verstösse gegen das DSG feststellen würde.
4. Es ist richtig, dass sich der Kontrollprozess im Zug etwas verlängert. Die eigentliche Kontrolle dauert nur sehr kurz, die Kunden müssen jedoch ihr Abonnement dem Kontrollpersonal überreichen. Die Kontrolle wird mit dem “Swiss Pass” jedoch präziser, da das Kontrollpersonal ungültige Abonnemente sofort erkennt. Es ist in der Verantwortung der Unternehmen des öffentlichen Verkehrs, für eine zweckmässige und kundenfreundliche Kontrolle der Fahrausweise zu sorgen.
5. Bereits heute liegt der Kontrollgrad im öffentlichen Verkehr nicht bei 100 Prozent. Dies ist beim heutigen Verkehrs- und Passagieraufkommen weder logistisch durchführbar noch betriebswirtschaftlich sinnvoll. Die langjährige Erfahrung zeigt, dass ein Kontrollgrad von 100 Prozent nicht nötig ist, um die Billettpflicht durchzusetzen. Vielmehr ist wichtig, dass Kontrollen flächendeckend und regelmässig stattfinden. Die Transportunternehmen beobachten die Quote der Reisenden ohne gültigen Fahrausweis laufend. Sollte diese wider Erwarten zunehmen, wären die Transportunternehmen in der Lage, die Kontrollen zu intensivieren.
6. Marktauftritt und Produktenamen sind Sache der im VöV zusammengeschlossenen Transportunternehmen. Der Bundesrat sieht daher keinen Grund zu intervenieren. Die Verwendung des Anglizismus bei der Namensgebung birgt aus Sicht des VöV Vorteile: In der mehrsprachigen Schweiz kann es in gewissen Fällen die Kommunikation auf nationaler Ebene vereinfachen, ohne dass eine Sprachregion benachteiligt wird. Allgemein können Anglizismen den Wiedererkennungswert von Produkten und Angeboten stärker erhöhen als eine Bezeichnung in der jeweiligen Landessprache. Der Name “Swiss Pass” wurde von einem Gremium mit Vertreterinnen und Vertretern aller Sprach- und Landesregionen ausgewählt.