Der EDÖB hat der SBB und dem Ver­band öffent­li­cher Ver­kehr emp­foh­len, auf­grund einer Ver­let­zung des Ver­hält­nis­mä­ssig­keits­grund­sat­zes und man­geln­der gesetz­li­cher Grund­la­ge bereits erho­be­ne Kon­troll­da­ten der Pas­sa­gie­re zu löschen und den Betrieb der Kon­troll­da­ten­bank ein­zu­stel­len (Medi­en­mit­tei­lung des EDÖB):

17.02.2016 – Im Rah­men des «Swiss Pass» müs­sen der Ver­band öffent­li­cher Ver­kehr (VöV) und die Schwei­ze­ri­schen Bun­des­bah­nen (SBB) die bereits erho­be­nen Kon­troll­da­ten der Pas­sa­gie­re löschen und den Betrieb der Kon­troll­da­ten­bank ein­stel­len. Dies for­dert der EDÖB in sei­ner Emp­feh­lung zuhan­den der bei­den Akteu­re. Zudem rät er ihnen, in den AGB zum Halb­tax- und zum Gene­ral­abon­ne­ment trans­pa­ren­ter über die Ver­wen­dung der Kun­den­da­ten zu informieren.

S. dazu auch Inter­pel­la­ti­on Schwa­ab (15.3822): Kin­der­krank­hei­ten des neu­en Abon­ne­ments des öffent­li­chen Ver­kehrs „Swiss Pass“ schnell kurie­ren, inside-it.ch und die NZZ vom 17.2.2016:

Der Daten­schüt­zer for­dert die SBB und den Bran­chen­ver­band öffent­li­cher Ver­kehr (VöV) auf, die bereits erho­be­nen Kon­troll­da­ten der Pas­sa­gie­re zu löschen und den Betrieb der Kon­troll­da­ten­bank ein­zu­stel­len. Die Auf­be­wah­rung der Kon­troll­da­ten sei weder nötig noch geeig­net und somit unver­hält­nis­mä­ssig, argu­men­tiert der inte­ri­mi­sti­sche Daten­schüt­zer Jean-Phil­ip­pe Wal­ter in sei­ner Empfehlung.

Es kön­ne zudem nicht aus­ge­schlos­sen wer­den, dass in der Daten­bank Bewe­gungs­pro­fi­le ent­ste­hen. Auch feh­le eine genü­gen­de gesetz­li­che Grund­la­ge für die Daten­be­ar­bei­tung. Dazu brau­che es min­de­stens eine Bun­des­rats­ver­ord­nung – bei beson­ders schüt­zens­wer­ten Per­so­nen­da­ten ein Bundesgesetz.

Der EDÖB äussert sich im Schluss­be­richt u.a. zum Begriff des Inha­bers:

Die Fra­ge nach dem Inha­ber der Daten­samm­lung beur­teilt sich nicht nach dem for­ma­len, son­dern nach den tat­säch­li­chen Ver­hält­nis­sen. Wer­den Daten im Auf­trags­ver­hält­nis durch einen Drit­ten bear­bei­tet, kom­men sowohl Auf­trag­ge­ber als auch Auf­trag­neh­mer als Inha­ber der Daten­samm­lung in Betracht, je nach­dem wer von bei­den die Ver­ant­wor­tung für die Daten­be­ar­bei­tung inne­hat, was gewöhn­lich mit der Bereit­stel­lung des Daten­ma­te­ri­als ein­her­geht. (vgl. Gabor P. Blech­ta in Mau­rer-Lamb­rou/­Blech­ta, BSK Kom­men­tar Daten­schutz­ge­setz, 3. Auf­la­ge, Hel­bing Lich­ten­hahn Ver­lag, Art. 3, N. 87 f.). Nach der ratio legis ist indes in erster Linie danach zu fra­gen, von wem man sinn­vol­ler­wei­se die Erfül­lung der an die Inha­ber­schaft geknüpf­ten Aus­kunfts- und Infor­ma­ti­ons­pflich­ten ver­lan­gen kann (Astrid Epiney/Daniela Nüesch in Hand­bü­cher für die Anwalts­pra­xis, Daten­schutz­recht, Hel­bing Lich­ten­hahn Ver­lag, § 3 N. 57). Inha­ber einer Daten­samm­lung kön­nen auch meh­re­re Per­so­nen gemein­sam sein, wie z.B. die Gesell­schaf­ter einer ein­fa­chen Gesell­schaft. Gemein­sa­me Inha­ber­schaft setzt aller­dings vor­aus, dass die ver­schie­de­nen Per­so­nen von­ein­an­der wis­sen und ein­an­der die Aus­übung ihrer jewei­li­gen Kon­trol­le gestat­ten (vgl. David Rosen­thal, Hand­kom­men­tar zum DSG, Zürich 2008, Art. 3, N 112).

Emp­feh­lung vom 4. Janu­ar 2016:
[pdf-embedder url=“http://datenrecht.ch/wp-content/uploads/2016/02/DatenschutzbeimSwissPass-EmpfehlungEDC396B.pdf”] Schluss­be­richt vom 4. Janu­ar 2016:
[pdf-embedder url=“http://datenrecht.ch/wp-content/uploads/2016/02/DatenschutzbeimSwissPass-SchlussberichtEDC396B.pdf”]

AI-generierte Takeaways können falsch sein.