Noch bis morgen können Stellungnahmen zur geplanten Änderung von Verordnungen zum Fernmeldegesetz (FMG) und zur neue Verordnung über die Internet-Domains eingereicht werden.
Die Digitale Gesellschaft begrüsst die Entwürfe in den Grundzügen, sieht aber – speziell hinsichtlich möglicher Verletzungen von Persönlichkeitsrechten – Anpassungsbedarf. In der Anhörungsantwort werden entsprechende Änderungs-Vorschläge unterbreitet.
Auskunftsrecht für Randdaten (Vorratsdatenspeicherung)
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB bietet Musterbriefe zum Download an, mit denen von den Mobilfunkprovidern die sogenannten Randdaten – also welche Nummern die anfragende Person wann und wie lange angerufen hat und wo sie sich zu diesem Zeitpunkt aufgehalten hat – angefordert werden können. Diesen Datenauskunftsbegehren wird jedoch von Swisscom, Sunrise und Orange nicht entsprochen. Zur Begründung wird jeweils Art. 43 FMG herangezogen.
Hierzu möchten wir eine Ergänzung zu Art. 81 Abs. 1 E-FDV vorschlagen:
«Solange die persönlichen Daten zur Erteilung von Auskünften über den Post- und Fernmeldeverkehr gemäss dem Bundesgesetz vom 6. Oktober 2000 betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) aufbewahrt werden, können die Kundinnen und Kunden von ihrer Anbieterin verlangen, ihnen diese Daten mitzuteilen.»
Anonymisierung von Statistikdaten (vor der Weitergabe)
Die Mobilfunkprovider zeichnen Statistikdaten ihrer Kundinnen und Kunden auf.
Für das Projekt Ville Vivante der Stadt Genf hat die Swisscom pseudonymisierte Verbindungsdaten von 14 Millionen Telefonverbindungen einer ganzen Woche zur Verfügung gestellt. Diese wurden zu Bewegungsprofilen verarbeitet und eindrücklich visualisiert. Studien belegen, dass nur wenige Datensätze ausreichen, um einen Grossteil der BenutzerInnen mit an Sicherheit grenzender Wahrscheinlichkeit identifizieren zu können. Ab diesem Zeitpunkt kann die entsprechende Person über den gesamten Zeitraum lückenlos verfolgt werden. Die Pseudonymität ist aufgehoben.
Hierzu möchten wir zwei Änderungen von Art. 100 FDV vorschlagen:
«a. sie vollständig anonymisiert werden, sobald der Bearbeitungszweck dies zulässt;»
«c. die betroffenen Personen nicht identifiziert werden können;»
Verhinderung von (automatisiertem) Auslesen der WHOIS-Datenbank und Möglichkeit zur Sperrung der Adresse von der Veröffentlichung
Die Stiftung SWITCH betreibt im Auftrag des Bundes die Registrierungsstelle nic.ch und führt eine öffentliche zentrale Datenbank, die allen Interessierten einen Zugang zu Angaben über die InhaberInnen von Domain-Namen gewährleistet. Leider trifft sie nur ungenügend «geeignete Massnahmen, um die missbräuchliche Verwendung der öffentlich zugänglichen Angaben […] zu verhindern», wie dies Art. 14 AEFV fordert. Eine Beschränkung der Anzahl Abfragen stellt kein wirkungsvolles Hindernis dar. Firmen wie beispielsweise DomainTools, LLC beschaffen sich die Daten aus der nic.ch/WHOIS-Datenbank, publizieren diese öffentlich im Internet oder verlangen sogar Geld für historische Daten.
Hierzu möchten wir zwei Änderungen von Art. 15 E-VID vorschlagen:
Abs. 2 (ergänzen): «Ein automatisiertes Auslesen personenbezogener Daten durch Dritte wird von der Registerbetreiberin verhindert.»
Abs. 3 (zusätzlich): «Die Registerbetreiberin sperrt personenbezogene Daten von der Veröffentlichung in der öffentlich zugänglichen Datenbank, wenn dies die betroffene Person verlangt.»