Der EDÖB hat der SBB und dem Verband öffentlicher Verkehr empfohlen, aufgrund einer Verletzung des Verhältnismässigkeitsgrundsatzes und mangelnder gesetzlicher Grundlage bereits erhobene Kontrolldaten der Passagiere zu löschen und den Betrieb der Kontrolldatenbank einzustellen (Medienmitteilung des EDÖB):
17.02.2016 – Im Rahmen des «Swiss Pass» müssen der Verband öffentlicher Verkehr (VöV) und die Schweizerischen Bundesbahnen (SBB) die bereits erhobenen Kontrolldaten der Passagiere löschen und den Betrieb der Kontrolldatenbank einstellen. Dies fordert der EDÖB in seiner Empfehlung zuhanden der beiden Akteure. Zudem rät er ihnen, in den AGB zum Halbtax- und zum Generalabonnement transparenter über die Verwendung der Kundendaten zu informieren.
S. dazu auch Interpellation Schwaab (15.3822): Kinderkrankheiten des neuen Abonnements des öffentlichen Verkehrs „Swiss Pass“ schnell kurieren, inside-it.ch und die NZZ vom 17.2.2016:
Der Datenschützer fordert die SBB und den Branchenverband öffentlicher Verkehr (VöV) auf, die bereits erhobenen Kontrolldaten der Passagiere zu löschen und den Betrieb der Kontrolldatenbank einzustellen. Die Aufbewahrung der Kontrolldaten sei weder nötig noch geeignet und somit unverhältnismässig, argumentiert der interimistische Datenschützer Jean-Philippe Walter in seiner Empfehlung.
Es könne zudem nicht ausgeschlossen werden, dass in der Datenbank Bewegungsprofile entstehen. Auch fehle eine genügende gesetzliche Grundlage für die Datenbearbeitung. Dazu brauche es mindestens eine Bundesratsverordnung – bei besonders schützenswerten Personendaten ein Bundesgesetz.
Der EDÖB äussert sich im Schlussbericht u.a. zum Begriff des Inhabers:
Die Frage nach dem Inhaber der Datensammlung beurteilt sich nicht nach dem formalen, sondern nach den tatsächlichen Verhältnissen. Werden Daten im Auftragsverhältnis durch einen Dritten bearbeitet, kommen sowohl Auftraggeber als auch Auftragnehmer als Inhaber der Datensammlung in Betracht, je nachdem wer von beiden die Verantwortung für die Datenbearbeitung innehat, was gewöhnlich mit der Bereitstellung des Datenmaterials einhergeht. (vgl. Gabor P. Blechta in Maurer-Lambrou/Blechta, BSK Kommentar Datenschutzgesetz, 3. Auflage, Helbing Lichtenhahn Verlag, Art. 3, N. 87 f.). Nach der ratio legis ist indes in erster Linie danach zu fragen, von wem man sinnvollerweise die Erfüllung der an die Inhaberschaft geknüpften Auskunfts- und Informationspflichten verlangen kann (Astrid Epiney/Daniela Nüesch in Handbücher für die Anwaltspraxis, Datenschutzrecht, Helbing Lichtenhahn Verlag, § 3 N. 57). Inhaber einer Datensammlung können auch mehrere Personen gemeinsam sein, wie z.B. die Gesellschafter einer einfachen Gesellschaft. Gemeinsame Inhaberschaft setzt allerdings voraus, dass die verschiedenen Personen voneinander wissen und einander die Ausübung ihrer jeweiligen Kontrolle gestatten (vgl. David Rosenthal, Handkommentar zum DSG, Zürich 2008, Art. 3, N 112).
Empfehlung vom 4. Januar 2016:
[pdf-embedder url=“http://datenrecht.ch/wp-content/uploads/2016/02/DatenschutzbeimSwissPass-EmpfehlungEDC396B.pdf”] Schlussbericht vom 4. Januar 2016:
[pdf-embedder url=“http://datenrecht.ch/wp-content/uploads/2016/02/DatenschutzbeimSwissPass-SchlussberichtEDC396B.pdf”]