{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2010-09-13", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20100913---Biometris_2010-09-13.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/2fBOBFdbnJmk/20100913%20-%20Biometrische%20Daten%20f%C3%BCr%20ein%20Reservationssystem.pdf", "Checksum": "f1b7c5f611273f330eabf2d1efd51fa2"}, "Scrapedate": "2026-04-05", "Num": ["20100913 - Biometrische Daten für ein Reservationssystem"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 13.09.2010"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 13.09.2010"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 13.09.2010"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Schlussbericht vom 13. September 2010 betreffend Biometrische Daten für ein Reservationssystem"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:12:18", "Checksum": "ae2f5606c6378b37e556bc5d09e86322", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 13.09.2010\nRegeste:\nSchlussbericht vom 13. September 2010 betreffend Biometrische Daten für ein Reservationssystem\n\nDer EDÖB regt zudem an, dass bei Erstellung eines Benutzerkontos automatisch darauf hingewiesen\nwird, dass bei unveränderten Grundeinstellungen im Online-Reservationssystem der richtige Nachname angezeigt wird, dass explizit danach gefragt wird, ob die betroffene Person damit einverstanden\nist und auf die Möglichkeit der Pseudonymisierung des angezeigten Namens verwiesen wird.\n\nZusammenfassend kann festgehalten werden, dass die jetzige Veröffentlichung der Reservationsdaten im Internet weit über das zur Zweckverfolgung Notwendige hinausgeht. Sie ist damit unter dem\nGrundsatz der möglichst schonenden Bearbeitung von Personendaten unverhältnismässig.\n\n5.5.3 Verhältnismässigkeit in zeitlicher Hinsicht – Ausgangslage\n\nDas Erfordernis der Verhältnismässigkeit begrenzt die Datenbearbeitung auch in zeitlicher Hinsicht.\nSofern personenbezogene Daten für den verfolgten Zweck nicht mehr gebraucht werden, sind sie zu\nvernichten oder zu anonymisieren. Dabei ist eine frühest mögliche Löschung/Anonymisierung vorzusehen.\n15/27\nVorliegend werden an drei Orten Personendaten gespeichert: Auf dem PC „Biometrie“, auf dem Sek-\nretariats-PC und auf dem Webserver für das Reservationssystem. Für keinen dieser Speicherorte\nbesteht eine Regelung für die Speicherdauer oder die Zuständigkeit für die Löschung. Bis jetzt werden\nauf dem PC „Biometrie“ und auf dem Sekretariats-PC keine regelmässigen Datenlöschungen durchgeführt, im Reservationssystem werden die Reservationsdaten aus Platzgründen alle 2 bis 3 Jahre,\ndie Logdaten nach ca. 1 Jahr, gelöscht.\n\n5.5.4 Beurteilung der zeitlichen Verhältnismässigkeit aus Sicht des EDÖB\n\nDer EDÖB hat bereits bei der Besichtigung der Anlage vor Ort darauf aufmerksam gemacht, dass bei\nder Bearbeitung von sensiblen Personendaten die Speicherdauer der Daten sowie die Zuständigkeit\nfür die Löschung nicht mehr benötigter Daten geregelt und in einem Reglement festgehalten werden\nsollte, da für die Betroffenen sonst nicht einschätzbar ist, wie lange die Daten gespeichert werden.\nZudem besteht tatsächlich die Gefahr, dass der Löschung der Daten zu wenig Beachtung geschenkt\nwird und diese daher dauerhaft aufbewahrt würden.\n\nDie Templates auf dem PC „Biometrie“ sowie die auf dem Sekretariats-PC gespeicherten Mitgliederdaten sind zu löschen, sobald sie nicht mehr benötigt werden. Dies ist spätestens dann der Fall, wenn\nein Mitglied den Austritt gibt. Die Löschung der Daten beim Austritt muss daher einerseits im Reglement festgehalten und in den Standardprozess für solche Fälle aufgenommen werden. Für den EDÖB\nsind keinerlei Gründe ersichtlich, welche die Speicherdauer von 2 bis 3 Jahren für die Reservationsdaten und die von einem Jahr für die Logdaten im Reservationssystem rechtfertigen würden.\n\nEs wird daher davon ausgegangen, dass die Speicherdauern unverhältnismässig lange sind und auf\nein angemessenes Mass reduziert werden müssen. Der TC XX hat dem EDÖB daher einen Vorschlag\nzu unterbreiten, wie die Löschfristen festgelegt werden sollen und diese Fristen anschliessend (technisch) umzusetzen. Dabei muss nebst der Löschung der oberwähnten Daten auch diejenige von diesen Daten gemachten Backups und dergleichen geregelt werden.\n\n5.6 Zweckbindung der Datenbearbeitung\n\n5.6.1 Ausgangslage\n\nPersonendaten dürfen nur für den Zweck bearbeitet werden, welcher bei der Beschaffung angegeben\nworden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3\nDSG). Da eine Änderung des Bearbeitungszwecks von den Betroffenen durch die zentrale Speicherung der biometrischen Daten nicht kontrollierbar ist, sind technische Lösungen vorzuziehen, welche\ndie Zweckbindung ausreichend gewährleisten.\n\n5.6.2 Beurteilung aus Sicht des EDÖB\n\nDurch die zentrale Speicherung der Templates in der Datenbank ist eine Zweckentfremdung in der\nBearbeitung dieser Daten nicht gänzlich ausgeschlossen. Dies unter anderem auch deshalb, weil die\nDaten sich nicht in der Nutzersphäre der Betroffenen befinden. Eine Zweckentfremdung im Sinne\neiner Verknüpfung mit anderen Datensammlungen oder eine Weitergabe an aussen stehende Dritte\nwäre möglich. Auch wenn die Tatsache berücksichtigt wird, dass keine Rohdaten, sondern Templates\nin der Datenbank abgelegt werden, ist auch aus Gründen der Zweckbindung der Datenbearbeitung\n16/27\nauf eine zentrale Speicherung der biometrischen Daten, wie sie zurzeit praktiziert wird, zu verzichten\nund auf einer der unter Ziffer 5.5.2.1 aufgeführten Varianten umzustellen.\n\n5.7 Datenrichtigkeit (Zuverlässigkeit, Anwendbarkeit)\n\n5.7.1 Ausgangslage\n\nDas Vergleichsverfahren zwischen Referenz- und aktuell präsentieren Daten (hier Templates der Fingerabdrücke) basiert auf Wahrscheinlichkeitsberechnungen und ergibt einen Übereinstimmungswert,\nder grösser als eine vordefinierte Schwelle sein muss, um die Person zu erkennen. Von dieser einzigen Schwelle sind die beiden Werte „Fals Rejection Rate (FFR)“ und „False Acceptance Rate (FAR)“\numgekehrt abhängig. Aus Gründen des Persönlichkeitsschutzes sollte von allem die FAR vermindert\nwerden, ohne aber die FRR zu stark zu beeinträchtigen. Die Wahl eines optimalen Schwellenwertes\nfür eine ausreichende Zuverlässigkeit des gesamten biometrischen Systems ist aus diesem Grunde\nnicht einfach zu treffen.\n\n"}