Der Umgang mit personenbezogenen Daten nach dem BGEID – Teil 2
Am 7. März 2021 wird über das BGEID, d.h. über das Bundesgesetz über Elektronische Identifizierungsdienste, abgestimmt. In Teil 1 wurde ein Überblick über die Datenhaltung nach dem BGEID gegeben. In diesem Teil wird dargestellt, wie die personenbezogenen Daten geschützt sind.
Das BGEID sieht ein umfassendes Konzept zum Schutz der verschiedenen Datenkategorien vor, um die es bei Einsatz der E-ID gehen wird. Dazu Folgendes:
- Datensparsamkeit: Die Nutzerin kann durch selektiven Einsatz der staatlich bestätigen E-ID verhindern, dass zu viele Nutzungsdaten über sie anfallen. Sie kann sich beim Einsatz auf jene Use Cases beschränken, mit denen sie ein persönliches Erscheinen vor einer Behörde abwenden kann. Es handelt sich um wenige Fälle pro Jahr. Hier hilft ihr zunächst Art. 6 Abs. 2 revDSG (Verhältnismässigkeitsgrundsatz) und Art. 6 Abs. 4 revDSG (Löschpflicht des IdP, wenn Daten nicht mehr nötig sind; d.h. meist schon nach wenigen Wochen). Weiter hilft ihr Art. 15 Abs 1 lit, k BGEID: Der IdP muss die in Bezug auf eine Person bei ihm gespeicherten Daten spätestens nach sechs Monaten wieder löschen (Maximalfrist).
- Pflicht zur Datenhaltung in der Schweiz: Der IdP muss seine Systeme in der Schweiz haben und hier behalten. Ein Systemtransfer ins Ausland oder der Beizug von Unterdienstleistern im Ausland ist verboten, wenn sie in irgendeiner Weise Zugriff auf Daten erhalten. Dies ergibt sich aus Art. 13 Abs. 2 lit. e BGEID.
- Pflicht zur Datentrennung: Der IdP muss Personenidentifizierungsdaten, Nutzungsdaten und Nutzungsprofile jeweils getrennt voneinander aufbewahren. Die Datentrennung muss dem Zweck des Angriffsschutzes dienen. Dies verlangt Art. 9 Abs. 3 BGEID ausdrücklich.
- Zwecklimitierung: Art. 9 Abs. 1 BGEID verbietet es dem IdP, Personenidentifizierungsdaten gemäss Art. 5 BGEID zu anderen Zwecken zu verwenden als zu Identifizierungen gemäss BGEID (siehe den vorstehenden Ablauf). Es ist ihm also z.B. verboten, Mutmassungen anzustellen über die Surf History der Nutzerin und natürlich umso mehr, Aufzeichnungen darüber in seinen Systemen zu speichern. Der IdP darf dies selbst dann nicht, wenn die Nutzerin ihm dies in einem Nutzungsvertrag erlauben würde. Damit geht das BGEID über das revDSG hinaus; denn unter dem revDSG wäre zulässig, eine Zweckerweiterung in den Nutzungsvertrag zu schreiben. Das geht unter dem BGEID nicht.
- Verknüpfungsverbote: Es ist dem IdP verboten, andere Verknüpfungen zu Personenidentifizierungsdaten vorzunehmen. Ebenso ist es dem IdP verboten, Erkenntnisse aus einem allenfalls parallel dazu angebotenen privaten Nutzungsverhältnis mit der Nutzerin mit E-ID-Daten zu verknüpfen. Dies ergibt sich ebenfalls aus Art. 9 Abs. 1 BGEID.
- Kommerzialisierungsverbot: Es ist dem IdP verboten, die Daten zu kommerzialisieren. Zum Beispiel ist ihm ein Verkauf der Daten über die Nutzerin verboten. Dass der IdP für seine Dienste ein Entgelt verlangt, ist nicht verboten. Ein privater IdP muss den Dienst nicht kostenlos anbieten. Natürlich nicht!
- Weitergabeverbot: Der IdP darf keine Daten an Dritte weitergeben. Er darf zwar Subunternehmer beiziehen, die Sitz in der Schweiz haben und die er in Bezug auf Einhaltung des Gesetzes (namentlich des DSG und des BGEID) und der weiteren Vorgaben kontrolliert. Er darf aber Daten namentlich nicht an Empfänger wie die folgenden weiterleiten: Aktionäre, Marketingdienstleister, etc. Dieses Weitergabeverbot bezieht sich gemäss Art. 16 Abs. 2 BGEID ausdrücklich auf alle Daten, um die es geht: (1) Personenidentifizierungsdaten, (2) Nutzungsprofile sowie (3) alle weiteren Daten, die bei der Nutzung der E-ID anfallen (somit auch auf Nutzungsdaten). Damit geht das BGEID über das revDSG hinaus; denn dieses sieht Weitergabeverbote nur vor für besonders schützenswerte Personendaten (Art. 30 Abs. 2 lit. c revDSG). Ob es im Geltungsbereich des BGEID überhaupt besonders schützenswerte Personendaten gibt, ist gar nicht so klar (wurde aber in Bezug auf das Gesichtsbild so behauptet). Siehe dazu die nachfolgende Diskussion.
«Normale» Personendaten und besonders schützenswerte Personendaten
Das schweizerische Datenschutzgesetz (DSG) unterscheidet zwischen «normalen» Personendaten und besonders schützenswerten Personendaten. Besonders schützenswerte Personendaten sind solche, für die schon einmal Menschen umgebracht wurden (Religion, Rasse, die Hautfarbe, etc.). Hier will man sicherstellen, dass ein Staat, der plötzlich korrupt oder «böse» wird, nicht an solche Daten gelangt. Es sind historische Gründe, warum Daten besonders schützenswert sind.
Das revidierte Datenschutzgesetz (Inkrafttreten erwartet für das Jahr 2022) zählt zu den besonders schützenswerten Personendaten auch solche biometrischen Daten, die eine natürliche Person eindeutig identifizieren (Art. 5 lit. c Ziffer 4 revDSG). Damit sind Daten gemeint, die gleichsam «an der Haut kleben» (das Bild der eigenen Iris, die Aufnahme der eigenen Stimme, der Scan des Fingerabdrucks, die Dokumentation der eigenen DNA). Solche Angaben sind aus Gründen der Fairness besonders schützenswert: Ist eine Verknüpfung mal erstellt, müsste man gleichsam «aus der Haut fahren» oder sich des betreffenden Körpermerkmals entledigen, um die Datenverknüpfung zu kappen. Der Datenbearbeiter hat im Vergleich dazu ein leichtes Spiel.
Qualifikation des Gesichtsbilds
Ein Passfoto kann man zwar noch als biometrischen Datensatz bezeichnen. Aber man muss darauf hinweisen, dass das Passfoto einen anderen Charakter aufweist als z.B. der Fingerabdruck oder die Iris, die oft auch als Beispiele für biometrische Angaben herhalten. Mit Blick darauf, dass ein Gesicht sich mit veränderndem Alter ändert, kann man ein Gesichtsbild z.B. nicht als unabänderlich ansehen (dies ist z.B. anders beim Fingerabdruck oder der Iris). Auch wird das Gesichtsbild im Alltag meist nicht so zurückhaltend eingesetzt, wie es der Fall wäre, wenn es z.B. um Fingerabdrücke und dergleichen ginge.
Ob ein Passfoto auch als besonders schützenswert gilt, darf man deswegen kritisch hinterfragen. Während dies unter dem jetzt noch geltenden DSG oft noch bejaht wurde, lässt sich dies unter dem revDSG mit Blick auf die ausdrücklich einengende Formulierung in Art. 5 lit. c Ziffer 4 revDSG kaum noch halten; denn biometrische Angaben sind nur dann besonders schützenswerten Personendaten, wenn sie eine natürliche Person eindeutig identifizieren. Wenn eindeutig dasselbe sein sollte wie «eineindeutig», kann man dies durchaus in Frage ziehen.
Besonders schützenswerten Personendaten im Geltungsbereich des BGEID?
Die im Rahmen der E-ID anfallenden Personendaten sind keine Personendaten mit einem erhöhten Gefährdungspotential. Es sind durchwegs «normale» Personendaten. Dies dürfte auch für das Gesichtsbild gelten (was man allerdings mit Blick auf das noch geltende DSG als umstritten bezeichnen darf und muss).
Bedeutung der Diskussion über besonders schützenswerte Personendaten
Die Diskussion über das Gesichtsbild und seine Einordnung muss man ohnehin relativieren. Pro memoria: Das Gesichtsbild kommt im Geltungsbereich des BGEID bei der Verifikation der Sicherheitsniveaus «substanziell» und «hoch» zum Einsatz und wird nur für E-ID der Stufe «hoch» beim IdP gespeichert. Da das BGEID mit seinen Rechtspflichten über das massgebliche revDSG hinausgeht, kann man sich fragen, ob die Aufregung um das Gesichtsbild die Risikosituation korrekt abbildet. Viel eher dient die Diskussion der Effekthascherei.
Fazit
Im Ergebnis bergen die in der E-ID enthaltenen Personendaten nur ein relativ moderates Gefährdungspotential in sich. Zugleich ist der Schutz durch das BGEID im Vergleich zum Schutz, den das Datenschutzrecht mit sich bringt, deutlich verschärft. Dies zeigt die vorstehende Analyse. Man kann nicht anders als zum folgenden Schluss kommen: Die Aufregung über das BGEID ist überrissen. Die Problematisierung des Gesichtsbilds dient ganz offensichtlich der Stimmungsmache. Dem BGEID kann man mit gutem Gewissen zustimmen.
Zu behaupten, dass das Passfoto, das die IDP zur Verifikation der Person bei Sicherheitsniveau substantiell und hoch vom Staat bekommen, nicht schützenswert ist, ist juristische Spitzfinderei. Wenn man mit dem Passfoto eine Person nicht eindeutig identifizieren kann, warum findet dann diese Übergabe überhaupt statt?
Wäre es nicht einfacher, wenn der Staat bei der E-ID-Registrierung zugleich mit den anderen Daten auch die Personenidentifikation machen würde und danach nur noch die wirklich notwendigen Personenidentifizierungsdaten an die IdPs weitergibt? Dann gäbe es diese Diskussion gar nicht…